Esta es mi primera pregunta aquí, he investigado esto brevemente pero no pude encontrar ninguna respuesta satisfactoria. Los apretones de manos de TLS se envían por el cable sin cifrar. De esta manera, alguien que pueda escuchar a escondidas puede aprender varias cosas sobre la conexión (por ejemplo, el dominio al que se accede, el protocolo que se usa [ALPN], el cifrado también). ¿Por qué no usar inicialmente un cifrado anónimo para cifrar el protocolo de enlace y luego cambiar al cifrado no anónimo después de que se haya verificado el certificado? MITM no debería ser un problema aquí porque el certificado aún debe presentarse y verificarse.