Hallo!

die Aussage ist imho in doppelter Hinsicht falsch. Es wird sichergestellt,
dass der Rechner auf der anderen Seite der ist, für den er sich ausgibt.
Es wird nur nicht per default dem Zertifikat vertraut (Zertifikatspfad, Austeller).

Und wie kann man das sicherstellen wenn man nicht weiß ob man dem Zertifikat vertrauen kann? Natürlich gibt es Möglichkeiten das manuell zu prüfen, aber um mal beim Beispiel CCC zu bleiben - wie kann ich sicher sein, dass auf der anderen Seite wirklich der Server des CCC steht, und nicht ein Server des BND...? Vielleicht hat ja irgendjemand an meinen DNS-Servern oder sonst welchen Einstellungen rumgeschraubt, dass ccc.de auf einmal eine andere IP auflöst - wo sich der BND selber ein Zertifikat auf ccc.de ausgestellt hat. Von Verisign & Co. würde er so ein Zertifikat eben nicht bekommen.

Grüße
Andreas