あるWebショップで買い物したと仮定する。
その店は「当店はSSLにより通信内容を暗号化しているので安全にお買い物できます」と書いてある。トップページには信頼の証であるVeriSignのサイトシールが張ってあるし、決済画面どころか買い物中の画面までアドレスがhttpsで始まっている。つまり、ブラウザを使って通信された内容はすべて暗号化されており、たとえ盗聴されたとしても、何のことやらさっぱりわからないはずだ。
鉄壁の守りである。ここまでは。
さて、商品を決定し、住所氏名を登録し、全ての手続きが終わった時、ショップからの確認メールがあなたに届いたとしよう。たいてい、買い物の内容と金額、あなたの住所氏名が書いてあるはず。
しかし、ネット上を飛び交うメールの大半が暗号化されていない。
ホームページの内容が盗聴できるのであれば、メールの内容も盗聴できる。これではSSLを使う意味がないのではないか。