Meu entendimento é que este é apenas um exemplo de ser excessivamente cauteloso, mas se meu formulário de pagamento contém um ativo não seguro, isso não compromete o número de cartão de crédito de ninguém de ser pego por um homem do meio.
Estou perguntando isso de vez em quando, talvez por causa de conteúdo em cache ou outros enfeites, alguém escreve dizendo que está vendo esse "erro" (mesmo que não haja recursos inseguros na minha página), mas eles querem uma explicação.
Então, sim, posso contar tudo sobre criptografia e certificados, confiança e homens intermediários. Mas o que lhes digo sobre isso. Como convencê-los de que o site é 100% seguro (e, se não estiver, me avise que estou enganado!)