De az sincs odaírva a https mellé, hogy attól biztonságos lesz.
A https az ami:
* A két fél közötti kommunikációt (elméletben) csak a két fél tudja dekódolni, harmadik résztvevő már nem. (Most scb vagy más audit eszközöket ne kavarjunk bele a képletbe!)
* Aki a szerver oldalt játsza, ő átment egy formális procedúrán az azonosságát igazolandó. Az ő azonosságát neked egy olyan CA fogja igazolni, akiben pedig a böngésződ készítője (vagy te) megbízol.
Ami miatt érdekes és fontos a https, az a PKI. A lakat ennyit tanúsít, nem mást.
Aki az url-ből a domain jelentőségét nem ismeri, és nem tudja mire való, annak tök mindegy, hogy http vagy https a protokol.
Ugyanez a másik irányba, mint kereső: neki tök mindegy, első/nulladik körben, hogy a crawl-olt weboldal http vagy https. De https esetén legalább lesz egy CA, aki a tanúsítványát aláírta. A CA-n keresztül, ha bármi phising gyanú fel merül, lehet igényelni revoke-t, stb.
Ha "gonosz" bácsik ssl-en kezdenek phisingelni, és nem vonja vissza a CA, akkor pedig... pont, hogy tudja használni a hatalmát, és kivágni a CA-t a böngésző trusted CA listájából.
pki nélkül mindez nem lenne!
Persze ehhez nyilván kell egy-két érettebb user is, aki nem a "b...d meg nyuszika a fűnyírómat" módon áll hozzá a google-höz, hanem partnert lát benne. Ehhez fel kell nőni.
Nem mindenkinek sikerül.