Vlákno názorů k článku První krok: Chrome začal upozorňovat na weby bez HTTPS od karlik - Nezkoušel tu někdo, co se stane u Firefoxu...

V ideálním světě není možné získat od důvěryhodné autority certifikát pro cizí doménu. Čili není možné nasadit falešný server do role MitM tak, aby se prokázal důvěryhodným certifikátem třeba pro Google.com. Takže když uděláte MitM útok na takovou doménu, budete muset uživateli předložit nedůvěryhodný certifikát a on uvidí klasickou hlášku o tom, že certifikát není možné ověřit a bude nutné takový certifikát odsouhlasit ručně.

Druhá varianta pak je, že se někomu podaří takový certifikát vylákat (chybou, nátlakem na autoritu a podobně). Pak to prohlížeč nijak nepozná a uživatele pustí dovnitř. Takový certifikát je pak stejně důvěryhodný jako ten původní.

Pokud je to při navazování spojení, a útočník předloží nedůvěryhodný certifikát, Firefox i jiné prohlížeče o tom informují uživatele (zobrazením jakoby samostatné stránky). Na samotnou webovou stránku se uživatel dostane až po té, co zvolí, že chce opravdu pokračovat a odsouhlasí výjimku pro daný certifikát.

Pokud útočník napadne už sestavené TLS spojení, TLS spojení se přeruší a prohlížeč se nejspíš zachová stejně, jako by bylo přerušeno spojení od serveru jiný způsobem (tj. třeba zobrazí tu část stránky, kterou obdržel před přerušením spojení).