¿Hay alguna otra forma de verificar que el servidor web que está visitando es el correcto?
Por ejemplo, si el DNS de un nombre de dominio fue hipotéticamente secuestrado, y los usuarios fueron dirigidos a un sitio de phishing que tomó su lugar; entonces no serían más sabios.
Sé que SSL ya lo hace. Pero, ¿hay alguna forma que no implique el uso de SSL?
No hay nada fuera de la caja además de SSL que hace esto, si usted fuera un desarrollador web, podría resolverlo programáticamente mediante el diseño de un mecanismo de verificación que se comunicaría con el software del cliente diseñado específicamente, o tal vez con un complemento del navegador. Esto parece bastante trabajo cuando SSL ya hace lo mismo.
Ha habido intentos de hacer esto sin cifrado y son tan inútiles como es de esperar y susceptibles a los ataques de MiTM. Recuerda esos "si no ves la imagen que configuraste, ¿no procedes? Bueno, no hay nada que impida que el MiTM pase por la imagen.
Agregamos la capacidad de nuestros tokens de software para validar un certificado SSL para el usuario, esencialmente mejorando el proceso SSL y combinándolo con un OTP. Si bien puede ser una exageración de lo que quiere hacer, está disponible en nuestra edición comunitaria de código abierto. Información aquí: enlace .
No, SSL fue diseñado específicamente para abordar este problema.
Lea otras preguntas en las etiquetas authentication tls http webserver