Si el servicio es http a través de TLS / SSL, ¿la comunicación es completamente segura?

Para responder a tu pregunta del título principal: Sí, más o menos. (Me gustaría ofrecer una opinión opuesta a la respuesta de Andrew). Todo el concepto de certificados se basa en la confianza. Confía en que el sitio o servicio con el que se está comunicando y los proveedores de CA son confiables para comenzar. Si comienza con esa suposición, entonces puede estar razonablemente seguro de que su privacidad está protegida del acceso no autorizado fuera de esas partes.

Si ya no puede confiar en la CA, o si no puede confiar en el servicio o el sitio web que está utilizando para proteger sus datos, el proceso completo se descompone. Si una CA o un servicio permite que las agencias de inteligencia vean sus datos, o una puerta trasera, entonces, por supuesto, no puede confiar en eso, pero eso aún sería acceso autorizado . Como analogía, usted y su arrendador tienen las llaves de su apartamento. ¿Confía en que su arrendador no permita que nadie entre en su apartamento, aparte de usted? Si su arrendador decide permitir que otra persona sin su permiso, todavía tiene acceso autorizado . (A diferencia del acceso no autorizado, como copiar su llave cuando no está mirando, abrir el cerrojo de su puerta o patear la puerta).

No. Los certificados raíz adicionales en el almacén de llaves / billetera de su navegador (o computadora) se pueden usar para realizar ataques Man-in-the-middle si alguien en la cadena de Internet puede obtener un certificado firmado para el servidor web en el que está conectando desde una de esas CA raíz adicionales. Por ejemplo, digamos que tienes una CA raíz turca en tu almacén de claves en tu Mac. Si su ISP puede hacer que la autoridad raíz turca emita un certificado de servidor para el host www.whatsapp.com (soborno, servicio de inteligencia en Turquía), entonces su conexión desde su computadora o teléfono a whatsapp.com puede ser enrutada a un servidor intermedio para un MITM ataque.

Elimina esas CA raíz no confiables y estarás más seguro. Es posible que tenga un problema con el nuevo ataque de logjam, que es un ataque de degradación de la suite de cifrado, o con el uso de un algoritmo que los criptógrafos creen que puede romperse (un puñado de claves DH de uso común de longitud de 1024 bits o menos).

Vea estas respuestas en Cómo la NSA puede interrumpir las sesiones Web y VPN y ataque MITM contra SSL .

Nunca he estudiado la seguridad de Skype.

El nivel exacto de seguridad de TLS / SSL no es realmente relevante aquí. Porque es lo suficientemente bueno como para que la forma más fácil de escuchar una sesión en WhatsApp o similar sea comprometer uno de los puntos finales, que necesariamente tienen acceso a los datos sin cifrar.