Le truc c’est que le SSL/TLS permet deux choses :
– authentifier le site comme étant bien le vrai site (de ma banque, par exemple) : sachant qu’une autorité tierce signe le certificat, et que le navigateur connaît une liste de ces autorités ;
– chiffrer la connexion entre le site et le navigateur, masquant ce qui transite sur le réseau.

En auto-signant la certificat, le site n’est pas certifié : n’importe qui peut signer lui-même un certificat et dire « je suis ta banque ».
Mais les données restent bien chiffrées.

Dans le cas d’un site perso, je pense que le chiffrement des communications réseau est suffisant. La validité du certificat n’est utile (à mon avis) que pour des sites sensibles : banques, commerçants… et qui seraient la proie des pirates.

Tout ça pour dire qu’un site qui auto-signe son certificat, ce n’est pas un problème : c’est juste que le site en question se fiche d’une des deux utilités du HTTPS, mais conserve la seconde.

(oh, et d’ailleurs : je préfère un site qui auto-signe son certificat qu’un site qui la fait signer par une autorité de certification qui n’est pas légitime. Hier j’ai bloqué un site comme ça : son certificat était signé, mais par une autorité inconnue (ça fait genre le site qui essaye de se faire bien voir, mais qui le fait mal, possiblement avec des intentions mauvaises). Firefox permet de voir dans quel cas on est (auto-signature, ou autorité illégitime ou autre) en cliquant sur « en savoir plus » lorsqu’il lève une alerte sur les certificats)
— (permalink)