Usando l'intestazione Pinning della chiave pubblica, l'utente si fida solo del mio certificato SSL, presumibilmente.
Se utilizzo solo HPKP e il certificato è sicuro, l'utente malintenzionato non lo ha capito, è possibile che l'autore dell'attacco esegua un MITM o qualcosa del genere?
Nella mia mente, probabilmente sbagliato, l'attaccante è ancora in grado di reindirizzare l'utente in un'altra posizione, ma non ha il certificato, quindi l'HPKP lo bloccherà. Ciò impedirà all'utente di consumare il contenuto dal server falso .
Hai un motivo per usare HPKP + DNSSEC?