warlord hat es schon erwähnt:
Bei dem beschriebenen Problem geht es nicht um die Sicherheit von SSL selber.
Der Titel "trotz SSL-Verschlüsselung nicht sicher" suggeriert, dass ein Benutzer, der per SSL Kontakt zu seiner Bank hat, nicht sicher ist. Das ist aber völlig falsch. Der Titel bezieht sich eher auf den Server. D.h. der Bankserver kann trotz SSL-Verschlüsselung nicht sicher sein, ob die Daten von Dir kommen oder nicht.
Das ganze ist ein klassischer Man-in-the-middle-Angriff. Ein Angreifer setzt sich zwischen den Benutzer und der Bank. Zwischen dem Angreifer und der Bank läuft alles wie gewohnt per SSL, d.h. der Bankserver schöpft keinen Verdacht. Zwischen dem Benutzer und dem Angreifer aber läuft alles ohne SSL ab. Daher keine Warnung wegen eines ungültigen Zertifikates. Damit der Benutzer nicht bei Klick auf einen Link auf die https-Seite geleitet wird, filtert der Angreifer die Antwort des Bankservers und macht aus allen https ein http.
Das ganze sieht so aus:
Benutzer <- http -> Angreifer <- https -> Bank
Wann kann das nur passieren?
Man ruft die Bankseite nicht manuell oder per Bookmark direkt als https auf. D.h. man tippt nur bank.de oder klickt auf einen Link, bei dem nur http steht.
Kann man es bemerken?
Ja, ganz einfach. Da die Verbindung beim Benutzer nicht verschlüsselt ist, hat man kein Schloss bzw. gefärbte URL im Browser. Außerdem beginnt die URL mit "http:". Der Browser zeigt eben an, ob man verschlüsselt mit der Bank kommuniziert oder nicht.