Si suppone che debba essere utilizzato un certificato digitale tra client e server per stabilire il trust iniziale. Il cliente deve scegliere di fidarsi del server.
Posso capire in un modello sicuro, il client saprà sempre chi è il server.
https://internal.sitea restituisce un certificato che il client riconoscerebbe poiché ha avuto dozzine di scambi precedenti.
Ma che cosa è impedire a qualcuno nel mezzo di fare un semplice hello con il server e riutilizzare il certificato digitale, per stabilire la propria suite di crittografia con il client e agire pienamente come un uomo nel mezzo?
Mi scuso se sto fraintendendo qualcosa sul processo generale di scambio dei certificati. Non esitate a farmelo sapere.