Grundsätzlich: Das ist erstmal nur ein Test und ich erwarte sogar Probleme. Das Ziel sollte aber sein diese nach Möglichkeit zu beheben.
Natürlich wäre es nicht unbedingt notwendig alle Bereiche der Seite über https zu übertragen; dennoch gibt es ein paar gute Gründe hierfür
- Alles zu verschlüsseln ist deutlich einfacher als dies selektiv zu tun
- Vergisst man manche Daten zu verschlüsseln ist das gesamte System sinnlos.
- Aktuell scheint es keine Notwendigkeit der "Optimierung" zu geben
- Beim Wechsel zum Wiki und wieder zurück zum Forum würde man die Verschlüsselung verlieren, wenn es nur optional wäre. (OK, man könnte da sicher was mit ziemlichen Aufwand programmieren um die Links on-the-fly zu ändern)
- beim Test würde kaum jemand mitmachen, wenn er freiwillig wäre. 😉
Und noch zum Beitrag von Dirk. Das Problem ist, daß mit den Zertifikaten zwei unterschiedliche Ziele verfolgt werden. Einerseits soll mit dem Zertifikat der Client in der Lage sein den Server zu identifizieren (daher das Signieren von einem CA), andererseits soll aber auch die Kommunikation zwischen Client und Server abgesichert sein. Letzteres ist prinzipiell auch bei selbst-signierten Zertifikaten gegeben.
Warum eine Verbindung nur dann sicher sein soll, wenn ich viel Geld für ein Zertifikat bezahle (und zwar laufend und nicht nur einmalig) entschließt sich mir nicht ganz. Für mich ist das Verfahren von cacert ausreichend genug um sicherer als gar keine Verschlüsselung zu sein.
Das Verhalten der Browser-Hersteller ist meiner Meinung nach kontraproduktiv und sie sind mitverantwortlich daß ein Großteil der Webseiten nach wie vor unverschlüsselt übertragen wird.
Und zu den Fehlermeldungen der Browser, falls das Root-Zertifikat unbekannt ist. Ich habe mal verschiedene angehangen. Und das selbst einige Arch-User hier von de Meldungen verwirrt sind zeigt doch deutlich, daß die meisten Benutzer damit nichts anfangen können. Keiner der Browser beschwert sich, wenn man das s bei https entfernt und einfach auf Verschlüsselung verzichtet.
Nun, ich habe hier eine recht einmalige Situation, da ich innerhalb von Arch Linux dafür sorgen kann, daß alle Programme das cacert-Zertifikat kennen.
Das ist jetzt zwar etwas abweichend, aber grundsätzlich sollten die Browser-Hersteller die Verwendung von Verschlüsselung fördern und nicht blockieren. Man sollte sich also aktiv darum bemühen, daß Organisationen wie cacert (aber auch DFN etc.) eine Chance auf Integration ihrer Zertifikate haben. Zwar habe ich hier auch keine Patentlösung, aber das Verhalten der Browser bei unbekannter CA sollte geändert werden.
PS: Es ist übrigens interessant, daß der IE meldet das Zertifikat wurde für eine andere Webseite ausgestellt.