Se un certificato sembra sospetto, devi verificarlo con l'autorizzazione. Di conseguenza, dovrai aprire un canale sul server di verifica dell'autorità. Chi / cosa protegge questo canale di verifica contro l'uomo nell'attacco centrale?
If a certificate looks suspicious you'd want to verify it with the authority. As such you'll need to open a channel to the authority's verification server.
No. I certificati TLS sono verificati interamente a livello locale. Le chiavi pubbliche delle autorità di certificazione sono memorizzate nel tuo sistema (gestito da fornitori di sistemi operativi e browser) e crittografia a chiave pubblica ti dà la possibilità di verificare che il certificato sia stato firmato dalla corrispondente chiave privata .
L'unica cosa vicina a quello che stai dicendo è verifica dei certificati revocati , che storicamente ha coinvolto un controllo di rete. A causa di problemi con la possibilità che un utente malintenzionato riesca a far fallire tali richieste, Chrome almeno ora raggruppa le revoche nei suoi aggiornamenti software.
Poiché il browser memorizza i certificati radice, la verifica avviene effettivamente sul client. Sarei più preoccupato per gli attacchi di riproduzione che potrebbero derivare da un evento come un dirottamento BGP o avvelenamento DNS. Se sei un bersaglio per un attore avanzato, potresti teoricamente essere indirizzato a un sito falso con un certificato "valido". La risposta breve è che non c'è molta protezione da ssl MITM a seconda del livello di sofisticazione dell'attacco.
Leggi altre domande sui tag public-key-infrastructure certificates man-in-the-middle certificate-authority