Som Samuel K säger så är all https trafik krypterad, oavsett om man har ett certifikat eller inte. Certifikatet är mest till för att försäkra kunden/besökaren om att det här verkligen är servern man är ute efter som man browsar på. Vilket ju är rätt viktigt för dom flesta om dom tex ska handla med sitt kontokort över interwebben..
Ja, ett förtydligande. Med SSL, eller TLS som IETF-standarden heter (SSL är Netscapes påhitt innan TLS fanns), kan två certifikat användas.
Det ena intygar serverns identitet. Detta måste man ha. Detta kan sedan verifieras mot ett Root-certifikat som installerats på datorn (eller finns förinstallerat). Om inte får användaren själv verfiera det. (vilket inte sker, då ingen användare i praktiken gör detta.)
Installerar man root-certifikatet slipper man dialogrutorna om opålitliga certifikat.
Det andra certifikatet i SSL/TLS är ett klientcertifikat som klienten kan använda för att intyga sin identitet. Detta ger en bättre säkerhet, men är självklart lite krångligare.
Dessutom är det ju inte intressant på en publik website, utan bara för site med begränsad grupp användare.
När man installerar ett självsignerat certifikat måste man på något sätt förvissa sig om att det är rätt certifikat man installerar. (Är det fel kommer man intet ont anandes att lita på någon annan, som skulle kunna hitta på vad som helst utan att man som användare behöver märka något.)
Detta görs lämpligen genom att verifiera fingeravtrycket på certifikatet mot en kod man fått av den man ska lita på i detta fall. Hur denna kod ska distribueras är ytterligare ett "problem" i vissa fall. Vanlig post? Per telefon? SMS?
Allt beror på vilken nivå på säkerhet man vill ha. Hur paranoid är man?
Det är lite katten på råttan....
