¿Cómo sabe el navegador este dominio: la asignación de CA?
No lo hace. O al menos no lo sabe solo por HSTS. HSTS solo se asegura de que HTTPS llegue al sitio de destino en lugar de HTTP. No importa qué CA ha emitido el certificado.
La fijación de la clave pública en su lugar le importa que una clave pública específica se use en los certificados de sitios o en el certificado del emisor. Hay un anclaje predefinido para algunos sitios como Facebook y hay un anclaje mediante el uso del encabezado HPKP (no HSTS).
Me he topado con escenarios en los que presentamos un proxy que falla el descifrado de ssl en los sitios HSTS ... por ejemplo. facebook gmail etc.
En el caso de que los proxies MITM se configuren correctamente como se usan dentro de las compañías o como los instalan algunos productos AV, la CA de proxy se instalará como confiable en los navegadores / SO. Esto significa que los certificados emitidos por el proxy MITM (usando la CA de proxy) no causarán un error / advertencia sobre un emisor de certificados desconocido. Además, cualquier certificado emitido por esta CA no estándar de confianza explícita no se comparará con las restricciones de fijación de claves públicas en los navegadores actuales. Esto significa que un certificado para el sitio anclado se aceptará sin advertencias, incluso si no coincide con la huella digital almacenada, siempre y cuando haya sido emitido por esta CA no estándar pero confiable.
Si aún recibe una advertencia, entonces el proxy no está correctamente configurado. Cualquier acceso a un nuevo sitio HTTPS resultará en una advertencia de certificado que el usuario explícitamente debe ignorar pero, con suerte, no. Y lo bueno de la fijación de claves públicas es que no permite a los usuarios ignorar tales advertencias para los sitios protegidos con identificación, pero simplemente se negará a acceder a ese sitio en ese momento. De esta manera, también protegerá a los usuarios contra ataques MITM que están entrenados para hacer clic en cualquier advertencia.