Zerosquare (./17878) :
Parce qu'on a éduqué les gens à croire que HTTPS = sécurité dans tous les cas, ce qui est faux. C'est regrettable, mais c'est comme ça.
Le résultat est que les sites utilisent du HTTP non crypté pour éviter les warnings, ce qui ne protège même pas des attaques passives. Cette chasse aux certificats "non valides" est totalement contreproductive.
Nil (./17879) :
Sauf que "les gens" ne regardent pas "https", mais l'icône de sécurité et les messages du navigateur. Les autres, ceux "qui savent", ne sont pas à éduquer.
+1
Et si même ils regardent "https", il suffit de mettre quelque chose comme "+insecure" à côté.