J’ai un petit reproche à faire à ton « c’est assez simple » : dans les deux cas, en plus du certificat bidon, il faut au minimum corrompre les informations DNS pour l’utilisateur, et au maximum intercepter tout le trafic réseau.

Je l’aurais plutôt tourné dans le sens inverse, repartir d’Alice et Bob : l’encryption asymétrique ça marche parce que Bob a donné à un moment à Alice sa clef publique, et Alice est sûr de Bob et de celle-ci. Le problème sur le web (grosso-modo) est le suivant : que faire quand Alice ne connaît pas bien Bob ? Avec HTTPS, ce qui est proposé c’est qu’Alice parle à une adresse qui normalement mène à Bob, et dans la réponse, on trouve le sous-entendu « je suis Bob » et sa clef publique. HTTPS ne lève pas ce sous-entendu « je suis Bob », qui est difficilement vérifiable à l’heure actuelle (déjà car DNS et pas DNSSEC, mais même comme ça, ça ne résoud pas l’interception complète du trafic), et par contre est capable de dire avec une quasi-certitude : cette clef publique est in fine issue des données gérées par cette entreprise commerciale dite « autorité de confiance ».

Voilà, dit comme ça, je trouve que c’est plus simple et on voit tout de suite les failles :-) Mais bon, c’est personnel :-)