flanker (./461) :
En quoi ?

HTTP: Le navigateur accepte sans broncher.
HTTPS (certificat non validé): Le navigateur refuse de charger la page, affiche un énorme avertissement à la place, et il faut au minimum 3-4 clics pour rajouter l'exception et recharger la page (et aussi, du coup, l'exception est automatiquement permanente).
Alors évidemment les sites choisissent l'alternative qui marche sans aucun avertissement, alors que la deuxième serait plus sure (parce qu'il faut une attaque active pour intercepter le traffic vs. une attaque passive dans le premier cas).