El certificado del servidor SSL debe transmitir la clave pública del servidor. Este es el método mediante el cual puede saber que está hablando con el servidor correcto, no con una configuración falsa por parte de algún atacante para obtener su contraseña o los datos de su tarjeta de crédito. Si su navegador le advierte sobre el certificado, entonces esta garantía se ha evaporado (como el rocío del Sol de la mañana, como dice la metáfora habitual).
La reacción de sane ante una advertencia del navegador basada en certificados es dejar de acceder al sitio por completo. El proceso con HTTP o HTTPS en ese sitio es bajo su propio riesgo.
Si DEBE realmente navegar por ese sitio, entonces considérelo como poco confiable y desprotegido. Realmente no sabes si estás usando el servidor original o uno falso. No envíe ninguna información confidencial a ese servidor. No considere que la información enviada por ese servidor sea verdadera.
(En esa situación, HTTPS sigue siendo "mejor" que HTTP en el siguiente sentido: si el error no se debe a un ataque real, sino a una configuración errónea completa, entonces HTTPS seguirá haciendo algo de SSL que ofrecerá cierta protección contra atacantes pasivos , que espían en la línea pero no intentan interferir con los intercambios de datos. Esto no es una gran protección, porque los atacantes pasivos son raros.)