¿Hay alguna forma de probar que una página HTML se envió a mi navegador y no se modificó de ninguna manera después de que se entregó a través de TLS?
Necesito demostrar integridad y autenticidad del remitente, idealmente por la clave pública del servidor.
¿Hay una herramienta para ello?
Solo puedo encontrar información sobre los métodos de negociación, pero no para la entrega de contenido.
Quiero finalizar con una página HTML firmada que se puede verificar con la clave pública del servidor
Por lo que entiendo, lo que estás tratando de hacer es verificar, después de estar seguro de que la página llegó de la red sin tocar (ya que es TLS), que no ha sido modificada por ningún cliente malware.
Ya que es un programa malicioso del lado del cliente, es seguro suponer que puede cambiar todo lo que quiera en el lado del cliente, después de que la sesión se descifre de la capa TLS. Entonces, no hay forma de asegurarse de que los datos estén intac t: incluso si agrega una firma criptográfica, el malware podría simplemente cambiar la clave pública de su servidor en la memoria y renunciar al HTML, o simplemente omitir la comprobación de firma.
Lea otras preguntas en las etiquetas web-application public-key-infrastructure digital-signature