Hallo,

Dann verstehe ich aber was nicht, wenn das eh gleich sicher ist, wieso wird dann überhaupt unterschieden?

Na ja, dann habe ich mich anscheinend falsch asugedrückt. Rein von der Verschlüsselungstechnik her sind beide gleich gut.
Das heißt, daß die Daten nicht im Klartext versendet werden, und der 'Man-in-the-middle' sie weder lesen noch manipulieren kann, ohne daß es auffällt.
Aber...
Es gibt eben auch den Aspekt der Daten-Authentizität. Gerade im Internet passieren die Daten verschiedenste Zwischenstationen (Router). Jede dieser Rechner, und das sind Router nun mal eben) könnte den ursprünglichen Request abfangen, und so tun, also ob er der Server wäre, der den Request abarbeinten sollte. Transparente HTTP-Proxies arbeiten z.B. so.
Du kannst zum Beispiel nicht wirklich sicher sein, ob die Daten dieses Forums auch wirklich vom richtigen Server kommen;-)
Dies würde es aber eben auch ermöglich, daß dieser 'Fake'-Server auch vollkommen falsche Daten ausliefert, oder die übertragenen Dataen mißbräuchlicher Weise auswertet.

Um genau das zu verhindern, sind im Server-Zertifikat auch die Verbindungsinformationen des Servers mit abgelegt.
Bei selbst erstellten Zertifikaten kann aber vom Browser nicht überprüft werden, ob diese Informationen auch wirklich stimmen.
Jemand könnte also seinen Server mit einem ebenfalls selbst erstellten Zertifikat ausstatten, ohne daß der Besucher es wirklich überprüfen kann.
Bei einem von einem CA ausgestellten Zertifikat kann dieser CA aber die Richtigkeit des Zertifikats bestätigen, womit auch bestätigt ist, dßa die Daten vom richtigen Server kommen, bzw. zu diesem gesendet werden.

Welchen Grad an Sicherheit Du wirklich benötigst, ist allerdings stark von den übertragenen Daten abhängig, und die Wahrscheinlichkeit, daß jemand Interessse hat, diese zu lesen oder zu manipulieren.
Wie gesagt, Kreditkarteninformationen oder alles was, vor allem, wirtschaftlichen Schaden für einen der beiden (Hoster und Besucher) bedeuten würde, würde ich nicht ohne offiziellem Zertifikat übertragen wollen.

Für die Kreditkarten geschichte gibt es allerdings ausch verschiedene Services, die ein Kreditkartenclearing anbieten, wo neben einer geschützen Informationsübertragung auch gleich eine Überprüfung der Kreditkarteninformationen und Liquidität durchgeführt wird.

Wenn ich allerdings, wie schon angedeutet, beispielsweise ein 'Extranet', also ein von außen erreichbares Intranet realisieren will, dann kann ich das sehr wohl auch mit einem selbst erstellten Zertifikat machen, da ich die Authentizität durch firmeninternen Prozeß gewährleisten kann.

Ich hoffe, wieder etwas Licht in die Angelegenheit gebracht zu haben.

Grüße
  Klaus