Hallo.

Sicher? In dem Fall ist es doch wohl eher so, dass man nicht weiss, ob der Server, mit dem man "spricht", auch derjenige ist, der er behauptet zu sein.

das ist korrekt. Eine man-in-the-middle Attacke wäre möglich. Das ist technisch (leider) auch nicht wirklich schwer - in einem lokalen Netz ist das schnell passiert. Im Internet wird das schon schwerer: Hier müsstest ein Angreifer AFAIK ein passenden DNS-Server unter Kontrolle bringen oder zumindest deine Verbindungsanfrage irgendwie abfangen um sich von Anfang an in die Kommunikation einklinken zu können.
Du kannst also ohne Kentniss des Fingerprints (oder eines vertrauenwürdiges Certifiactes) des Servers nicht wirklich sicher sein, daß du dich auch nur mit diesem Server unterhältst. Du hast also in Bezug auf die Sicherheit recht.
HTTPS ist aber nicht nur wegen der Datenintegrität und "abhörsicheren Verbindung" intressant. Wenn du eine Seite per HTTPS anforderst hinterlässt du keine Spuren (die im Nachhinein ausgewertet werden könnten) im restlichen Netz welche Seiten du dir angesehen hast. Aus diesem Grund nutze ich wenn immer möglich eine HTTPS Verbindung, genauso selbstverständlich wie ich meine Emails verschlüssele.

ob es DER server ist, könnte mir ja ziemlich egal sein, aber ein zertifikat einer seite zu installieren, heist doch wohl auch, ihr mehr rechte zur ausführung von code zu geben, oder?

Ich würde dir nicht empfehlen ein fremdes Certificat ohne Prüfung zu installieren. Es reicht völlig aus, wenn du es nur für diese Verbindung akzeptierst. Ich habe bisher noch nicht gehört, daß man einer Seite mehr Rechte gibt, wenn die Verbindung verschlüsselt ist. Kann aber sein das da bestimmte Browser (bzw. ein bestimmter Browser!) aus der Reihe tanzt. Weiß ich wirklich nicht, würde mich aber intressieren.

Grüße,

Peter