TL; TR: avere un certificato firmato da una CA attendibile non è sufficiente se il controllo dei certificati è eseguito correttamente.
Solo se tutti i seguenti punti sono veri riguardo al certificato inviato da sslstrip, allora sono possibili gli attacchi uomo trasparente nel mezzo:
- Il certificato deve essere firmato da una CA attendibile: questo è facilmente possibile.
- L'oggetto dei certificati deve corrispondere al nome nell'URL: di solito non ottieni un certificato con un oggetto corrispondente per un dominio che non controlli da una CA di fiducia pubblica.
- Il sito attaccato non impiega il certificato o la pinatura della chiave pubblica, vale a dire il blocco incorporato come fatto per alcuni domini importanti dai browser o il blocco esplicito mediante l'intestazione HPKP.
Si noti che questi punti si basano sul fatto che il client svolga un lavoro appropriato con la convalida del certificato. Ma versioni precedenti di PHP, Python, Ruby ... non lo fanno e gli sviluppatori spesso disattivano la convalida perché è fastidioso durante i test o perché preferiscono usare i certificati autofirmati (che va bene se si ha un blocco esplicito nel applicazione).