Otázky skutečně dávají smysl. Nicméně ani odpověď není složitá. HTTPS má nabízet bezpečný přístup, tedy vytváří očekávání, proto se k němu nelze chovat stejně jako k HTTP, které ta očekávání nevytváří. Jiná možnost by byla k tomu od začátku přistupovat tak, že by se ona očekávání neodvíjela od HTTPS, ale od určitého stupně bezpečnosti. Ale to by pak neumožňovalo použít https:// ve smyslu připoj se bezpečně k ..., což ovšem je dosavadní status quo.

Problem je stale v tom, ze HTTP a HTTPS su medzi sebou previazane a jedna stranka z HTTPS moze odkazovat sa na inu po HTTP (a opacne). Teda tu ocakavanie bezpecnostneho pristupu straca svoj zmysel a nadalej si budem stat za svojimi tvrdeniami. Nehovoriac este o moznom downgrade utoku. Okrem toto si myslim, ze cele overovanie SSL certifikatu je v kazdej aplikacii naimplementovane zle. Tu si autori (takmer) vsetkych aplikacii vylucne myslia ze iba ich "doverihodne" autority su doverihodne a to pre vsetkych. Nehovoriac o tom, ze kazda aplikacia si overuje certifikat po svojom a ak som uz jednej aplikacii povedal, ze plne doverujem certifikatu C, tak ine to samozrejme ignoruju... Podla mna by to mal riesit system (alebo nejaka jeho kniznica) a tam by som mohol jasne povedat ze pre server S sa moze pouzit jedine certifikat C (a je jedno ci je self-signed alebo vyprsal...).

Nejlepší by bylo zakomponovat TLS do HTTP (toho, co není HTTPS), a celé to postavit odznovu bez speciálního portu, naučit to pořádně používat SASL a GSS_API a dodávat informace o úrovni bezpečnosti separátní cestou, zde mě napadá DNSSEC v kombinaci s lokální konfigurací.

Ano. Spolahlive riesenie je asi jedine spravit protokol HTTP nanovo a poriadne.

Přistupovat k HTTPS s nedůvěryhodným certifikátem stejně jako k HTTP znamená, že se prohlížeč bude z pohledu uživatele chovat, jako by přistupoval k webu přes HTTP. Tj. nebude otravovat hloupými hláškami "opravdu?, "jste jist?", "a stejně vás tam nepustim", ale prostě web zobrazí stejně, jako by ho stáhl přes HTTP. Akorát někde v adresním řádku může nabídnout ikonu "k tomuto webu by bylo možné přistupovat bezpečně, ale předtím musíte ověřit certifikát". Pokud uživatel certifikát ověří, samozřejmě se nejedná o nedůvěryhodný certifikát a neplatí pro něj výše uvedený postup. Je logické, že když si uživatel HTTPS explicitně vyžádá (napíše ho do adresního řádku, otevře z oblíbených), má být důrazně varován, pokud se prohlížeč přepne do nedůvěryhodného režimu. Když ale sem na fórum někdo plácne odkaz s HTTPS "podívejte se na mojí wiki, tam jsem to perfektně popsal", nevidím jediný důvod, proč by mne prohlížeč měl donutit nainstalovat si certifikát toho webu a utvrzovat v mne v návyku, že pokud chci na webu něco vidět, musím tak dlouho klikat na OK, dokud to prohlížeč nevzdá a nepustí mne tam. Mimochodem, tohle byl v počátcích Firefoxu důvod, proč se uživatelé Firefoxu chovali na webu mnohem zodpovědněji, než uživatelé MSIE. Protože MSIE se uživatelů ptal na každou blbost, takže si je brzy vytrénoval, že ta upozorňovací okna jsou taková soutěž, a vyhrává ten, kdo je umí nejrychleji odklikat. Firefox se tenkrát ptal jen na důležité věci, takže když už se na něco zeptal, bral to uživatel vážně. Dnes je v některých případech Firefox horší, než tehdejší MSIE - a Chrome je na tom jen o kousek líp. Očekávání uživatelů se neodvíjejí od HTTPS, ale od toho, zda je adresní řádek prohlížeče zelený, se žlutým vykřičníkem nebo červeně přeškrtnutý. U HTTP 2.0 se střídavě uvažuje o tom, že bude existovat jenom šifrovaná varianta. Nevím ale, zda je to teď zrovna ve fázi "pal" nebo "nepal".

Jde o to, že z pohledu BFU je http totéž co https, čili to u nich žádná očekávání nevyvolává. Aplikujte, přečtěte si komentáře ještě jednou a pochopíte.

Ono by se uživatelům asi líbilo, kdyby se "zabezpečení" indikovalo nějakou ikonkou v případě, že se povedlo ověřit identitu serveru a jinak se ssl neprojevovalo vůbec, jenže náhlá změna v self-signed by se pak taky nikde neprojevila, ač všichni víme, že to bude nejspíš mitm, že. A to by byl celkem průs..švih. A řešení "semaforkem" ve stylu "trusted", "learned", "no-ssl" taky nikam nevede, protože minimálně změnu pro "learned" bych zase musela potvrzovat, ikdyž možná ne při prvním připojení, čili bych tím nic nevyřešila a jen věci zkomplikovala. Čili tak jak to je to funguje správně, jen rozdíl mezi http a https by pro BFU měl být větší než jedno písmenko. Aby vyvolal ono očekávání.