Por lo que sé, un atacante puede interceptar un tráfico cifrado al agregar un certificado personalizado y autoridad de CA en el navegador de la víctima. Me pregunto si funcionará si un sitio web utiliza la fijación de claves públicas.
Agregué el certificado de Burp a Firefox y puedo acceder a Facebook sin ningún error de certificado. ¿Cómo es posible?