> "датацентрах находится специальное оборудование для снифинга" -- вот как ИМЕННО ЭТО ОБОРУДОВАНИЕ
> подучает доступ к зашифрованному трафику?
> а про сервера объснять не надо это оборудование стоит уже за сервером, который расшифровывает трафик. Далее трафик, уже будучи расшифрованным, заворачивается в маршрут для прослушки спец оборудованием (незачем ему шифрованный трафик).
> если я хозяин сервера и решил подключитсья к своему серверу из дома
> -- то для меня не составит проблемы посмотреть на отпечаток ключа
> (совпадёт ли он или нет?). таким образом хозяин сервера может ОДНОЗНАЧНО
> определить была ли подстановка или не было. [в случае если в
> датацентре стоит "специальное оборудование для снифинга SSL"].
> сразу вопрос: каким образом можно сделать MitM над SSL и при этом
> НЕ поменять отпечаток ключа? ни каким? значит невозможно сделать MitM над
> SSL совершенно незаметным. хозяен сервера узнает об MitM и сразуже разгорится
> скандал => очередной доверенный центр SSL пойдёт в вечный бан от
> Mozilla и Chromium.
Часто вы смотрите на отпечаток?
А если серверов сотня, для балансировки нагрузки, вы ведете учет по каждому из них?
А если закончился срок сертификата, то все, подмена? Ведь злоумышленнику тоже ничего не мешает, применить свой фиктивный сертификат в день замены сертификата, и какой из 2х будут действительный - вы знать не будете.