Если злоумышленник установит свой сертификат на компьютер жертвы, то он сможет перехватить, расшифровать, и зашифровать трафик так, что ни сервер, ни пользователь не заметят.
Если злоумышленник не установит свой сертификат, то пользователь получит соответствующее сообщение, перед тем, как сайт будет открыт. Если пользователь проигнорирует все предупреждения и пройдёт через много уровней "обороны" с нажатием кнопок "да, я уверен, пустите меня", то злоумышленник точно также сможет перехватить.
В остальном всё безопасно. Вдвойне безопасно, если клиент проверяет, что подключение произошло именно с тем сертификатом, который ожидается.
В целом https-у вполне доверяют банковскую и всякую секретную государственную информацию (в этом случае вместо обычных сертификатов и шифрования используют специальные, но всё же)
