SSL consta de dos partes principales:
- el cifrado de los datos
- la validación de que realmente está hablando con el servidor esperado
Si recibe una advertencia sobre un certificado que no es de confianza, el cifrado seguirá funcionando, pero no puede estar seguro de que esté hablando con el servidor esperado. Esto significa que un hombre en el ataque central podría ser posible donde un atacante activo descifre, olfatee y vuelva a cifrar el tráfico. Eso es en lugar de esto:
Browser <----------- encrypted -----------------------> Bank
obtienes esto:
Browser <-- encrypted --> Attacker <--- encrypted ----> Bank
En este caso, el atacante puede rastrear todos los datos (contraseñas, etc.) e incluso modificar los datos y el cliente no lo notará. Las conexiones aún están encriptadas, pero no de extremo a extremo (de navegador a servidor), sino de navegador a atacante y, de nuevo, de atacante a servidor.
Por lo general, no debes anular la advertencia del navegador porque hay muchas posibilidades de que haya un hombre en el ataque central en curso. Solo en el caso de que sepa que el certificado es el esperado (verifique la huella digital, no solo el sujeto del certificado) puede anular la advertencia.
Tenga en cuenta que hay casos de personas legales en el centro de los ataques, es decir, la intercepción SSL realizada por proxies antivirus o por middleboxes (firewalls) para que estos puedan analizar el tráfico cifrado. En este caso, su computadora se configura automáticamente para confiar en estos certificados o necesita importar explícitamente la CA-proxy que firmó los nuevos certificados. Si tiene este tipo de problema mientras usa su propia computadora dentro de la empresa, pregunte al administrador de la red cómo debe proceder y no acepte simplemente los certificados.