Da wir annehmen können, daß Apple seine Zielgruppe gut kennt, wollte man wohl auf der sicheren Seite sein und niemand mit Details verwirren.
Denn natürlich ist es "privat", die Transportverschlüsselung wird /würde verwendet., SSL/TLS ist _nicht_ zum Identitätsnachweis der Gegenstelle gedacht.
Ich kann völlig sicher/privat, im Sinne von niemand kann es mitlesen, mit der Server kommunizieren, auch wenn das Zertifikat nicht offiziell signiert oder abgelaufen (das Ablaufen sollte nur sicherstellen, daß eine regelmäßige Kontrolle der Rechtmäßig erfolgt) ist.
Diese Vorstellung (steht vorne https ist alles gut) stammt noch aus der Zeit der teuren Zertifikate, bei der Firmen zur Ausstellung eines Zertifikats noch den Grundbucheintrag mitschicken mußten (Verisign Anfang der 2000er war pita) sind spätestens seit der Schwemme an anerkannten Ausstellern und dem automatischen Erstellen per Knopfdruck/Skript bei Let's Encrypt vorbei.
Das gilt bestenfalls noch für EV-Zertifikate (
Extended-Validation-Zertifikat [wikipedia.org]) Safari zeigt das Vorliegen eines solchen Zertifikats durch ein grünes Schloß statt eines grauen an.
Aber auch das nutzt nichts, wenn das EV Zertifikat von einer nicht vertrauenswürdigen CA (certification authority) ausgestellt wurde.
Mozillas Liste der CAs, also der von Mozialla als vertrauenswürdig erachteten Stellen, die Zertifikate für andere offiziell signieren dürfen.
https://ccadb-public.secure.force.com/mozilla/IncludedCACertificateReport
Eine CA kann auch in Ungnade fallen, wenn sie z.B. wie der Vergangenheit geschehen, Zertifikate signiert die eindeutig zum Betrug vorgesehen sind.
Zertifikats-Streit: Symantec gelobt Google Besserung [heise.de]
So hantierte Symanetec 2015 mit einem falschen Google-Zertifikat. Anschließend stellte Google der CA das Ultimatum, ihr Certificate-Transparency-Modell zu unterstützen. Dieser Ansatz soll etwa sichtbar machen, wenn CAs Zertifikate auf Domains ausstellen, die bereits von anderen CAs mit Zertifikaten versorgt werden. Im Jahr 2016 zog Google dann die Daumenschrauben weiter an. Anfang 2017 kam es erneut zu Problemen mit von Symantec ausgestellten Zertifikaten.
Update on the Distrust of Symantec TLS Certificates [mozilla.org]
Firefox 60 (the current release) displays an “untrusted connection” error for any website using a TLS/SSL certificate issued before June 1, 2016 that chains up to a Symantec root certificate.
(...)
We found that 3.5% of the top 1 million websites are still using Symantec certificates that will be distrusted in September and October (sooner in Firefox Nightly)!
Die Fritzbox verwendet z.B. ein selbst erstelltes Zertifikat.
Safari läßt einen dann die Seite nicht aufrufen
Firefox warnt auch vor dem selbst generierten Zertifikat
bietet dann aber zumindest direkt an, eine Ausnahme hinzuzufügen
und zeigt beim erneuten Aufruf einen entsprechenden Hinweis
auf Wunsch auch etwas detaillierter
TL;DR
Der Text der Fehlermeldung sollte von Apple überarbeitet werden, da er den technischem Sachverhalt dermaßen verkürzt, daß die Aussage falsch wird.
Zusätzlich sollte eine einfachere Möglichkeit geschaffen werden, Ausnahmen hinzuzufügen.
Aber vielleicht habe ich das als Safari-selten-Nutzer nur übersehen.
NACHTRAG: ja man, kann das Zertifikat in drei Schritten hinzufügen
dann
und einmal das Userpasswort eingeben, dann klappt auch in Safari der Zugriff per
https://192.168.178.1/ und mit grauem Schlüssel
