Me pregunto si para evitar la posibilidad de un certificado SSL comprometido que pueda conducir a la divulgación de información confidencial si sería prudente cifrar más los datos que se pasan sobre SSL.
Escenario imaginario: dos aplicaciones web. Una es una aplicación web, la otra es una aplicación que proporciona una API de autenticación.
La aplicación web envía un POST HTTPS a la API de autenticación que contiene el nombre de usuario y la contraseña. Está cifrado a través de SSL.
Sin embargo, ¿no podrían rastrearse esos datos si un atacante comprometiera el certificado SSL?
Mi pensamiento es agregar otro nivel de cifrado, por ejemplo, tenemos un par adicional de clave pública / privada y también ciframos toda la información en el POST.
Eso significaría que un atacante que había comprometido tu certificado SSL tendría que encontrar una clave privada adicional para romper la comunicación.
¿Pensamientos?