TL; TR: tener un certificado firmado por una CA de confianza no es suficiente si la verificación del certificado se realiza correctamente.
Solo si todos los siguientes puntos son verdaderos sobre el certificado enviado por sslstrip, entonces es posible un ataque transparente en el medio:
- El certificado debe estar firmado por una CA de confianza: esto es posible.
- El sujeto de los certificados debe coincidir con el nombre en la URL: por lo general, no obtiene un certificado con un sujeto coincidente para un dominio que no controla de una CA de confianza pública.
- El sitio atacado no emplea el anclaje de clave pública o certificado, es decir, el anclaje integrado como hecho para algunos dominios importantes por los navegadores o el anclaje explícito con el encabezado HPKP.
Tenga en cuenta que estos puntos se basan en que el cliente realice un trabajo adecuado con la validación de certificados. Pero las versiones anteriores de PHP, Python, Ruby ... no lo hacen y los desarrolladores a menudo desactivan la validación porque es molesto durante las pruebas o porque prefieren usar certificados autofirmados (lo cual está bien si tiene una identificación explícita en su solicitud).