Zeph (./484) :
Dans ce cas il ne manque pas un protocole intermédiaire qui serait "connexion chiffrée mais sans authentification",

Pendant un moment Firefox faisait plus ou moins ça en affichant un cadenas orange pour un certificat invalide contre un cadenas vert pour un certificat valide, mais ils se sont rendus compte qu'en pratique ça induisait beaucoup trop en erreur. La majorité des utilisateurs croient à tort leur connexion sécurisée des qu'ils voient un cadenas ou "https".

Zeph (./484) :
ou bien quelque chose de similaire à ce que fait SSH (définition de l'authentification lors de la première connexion) ?

Ajouter une exception manuellement pour un certificat est bien ce qui est fait actuellement (du moins dans Firefox). Par contre l’écran qui permet de faire ça est volontairement rebutant pour décourager les personnes qui ne sont pas conscientes du problème.