Cuando se muestra una advertencia de seguridad, el usuario debe tratarla como una emergencia de seguridad a gran escala y desencadenar procedimientos de contención y recuperación de daños. Es bien sabido que los usuarios no hacen eso; en su lugar, hacen clic en Aceptar o en Cancelar (lo que sea más cercano a la posición actual del puntero del mouse).
En la situación que describe, el usuario está tratando de ponerse en contacto con un sitio inexistente: no existe un site2.com
habilitado para SSL. Debido a una peculiaridad de HTTPS, el servidor no puede devolver la respuesta correcta (es decir, "conexión rechazada") y, en su lugar, inicia una conexión SSL con el certificado para site1.com
(de ahí la advertencia). Una vez que se realiza el protocolo de enlace SSL, el navegador envía la URL real (que contiene site2.com
), el servidor se da cuenta del problema y cortésmente ofrece una redirección al sitio que no es HTTPS.
Si el navegador del cliente es lo suficientemente reciente, puede usar la extensión Indicación del nombre del servidor , lo que proporciona una indicación avanzada de nombre del servidor que el navegador intenta alcanzar (es decir, site2.com
), lo que permitiría al servidor abortar la capa SSL desde el principio, evitando la ventana emergente de advertencia de seguridad en el cliente (el servidor todavía tendría que configurarse para implementar ese comportamiento, aunque).