Každý certifikát má nastavené nějaké období, během kterého je platný. Je to z důvodu větší bezpečnosti – bezpečnost certifikátů jednak závisí na tom, že neunikne privátní klíč, jednak na tom, že použitý algoritmus je dostatečně odolný. Jenže v algoritmech se nalézají chyby, a také neustále roste výkon počítačů, takže co bylo před pár lety nemožné louskat hrubou silou, dnes už je prakticky proveditelné. Proto se v počítačové kryptografii všude počítá s omezenou platností podpisů (a tím i certifikátů).
Další problém je, že u certifikátů se ověřuje, zda nebyly odvolány. A odvolání certifikátu je zase určené časem. Když si posunete čas dozadu, může se stát, že útočník získá privátní klíč, právoplatný majitel to zjistí a certifikát odvolá – váš prohlížeč by mu ale dál důvěřoval, protože k odvolání by podle něj mělo dojít až v budoucnosti.
Jedná se „jenom“ o varování klienta – klient při navázání spojení kontroluje, zda jde o platný a důvěryhodný certifikát. A certifikát je platný jenom v období, které je v něm nastavené – přičemž klient nemá lepší zdroj aktuálního času, než jsou hodiny počítače*). Když potlačíte varování klienta o tom, že certifikát je mimo dobu platnosti, může vám útočník podstrčit starý certifikát, od kterého nějak získal privátní klíč – buď si na něj jeho vlastník nedával pozor, protože byl od starého certifikátu, nebo byl použitý nějaký slabý algoritmus, a útočník dokázal klíč upočítat. (Ta druhá varianta by v moderním prohlížeči neprošla, protože prohlížeče odmítají i certifikáty se slabými algoritmy). A nebo může nastat ta třetí nejhorší varianta – certifikát by byl ještě platný, ale byl odvolán, protože je podezření na únik privátního klíče – ale váš prohlížeč bude v klidu, protože k odvolání dojde až v budoucnosti.
Když dáte u wgetu --no-check-certificate, určitě se nekontroluje, zda je certifikát od důvěryhodné autority, je možné, že se nekontroluje ani datum platnosti certifikátu a nejspíš ani shoda jména na certifikátu se jménem serveru. Takže komunikace je sice šifrovaná, ale možná komunikujete hezky šifrovaně s útočníkem, protože vám podstrčil svůj certifikát.
Nevím, jestli jde tahle kontrola potlačit v Chromiu – ono to obecně není moc dobrý nápad umožnit neznalým uživatelům tyhle kontroly potlačovat, protože uživatel se chce hlavně dostat na web, tak odklikne cokoli, a je mu jedno, že se připojuje na web útočníka. Nejlepší je nehrát si se systémovým časem a mít ho seřízený podle skutečného přesného času.
*) Resp. jak je vidět z té hlášky, Chromium si asi v případě nesouladu ověří čas i odjinud, ale nedělá to pro každý certifikát, protože by to zpomalovalo načítání stránek. A ten čas zjištěný odjinud použije jen pro správnou formulaci chybové hlášky, nepřebije to systémový čas použitý pro validaci certifikátu.