Kevin Kofler (./469) :
Tout ce que j'ai dit, c'est qu'il faut une attaque active (man in the middle) pour intercepter une connexion cryptée, même avec un certificat invalide (que l'attaque remplacera par un autre, invalide aussi), alors que pour le HTTP, un snooping passif suffit. Donc le HTTPS avec un certificat invalide est marginalement plus sûr. Et donc les navigateurs qui refusent le HTTPS avec un certificat invalide tout en laissant passer le HTTP sans le moindre avertissement font n'importe quoi.

Je part du principe que dans la majorité des cas celui qui arrive à surveiller ta connexion sera aussi capable de l'intercepter. En tout cas au niveau de la protection du navigateur ca me parait logique de partir sur ce principe.
Le second problème c'est que même parmi ceux qui on des connaissances en informatique les notions de certificat sont généralement vagues, alors chez 99% des internautes, c'est juste du chinois. Et pour eux le https avec un certificat invalide risque fortement de donner une fausse impression de sécurité. La plupart des gens ne savent pas ce que signifier un certificat invalide et pensent que le fait d'avoir une connexion https suffit a être sécurisé.