> Только браузер ругнется все равно (хоть и не строго) если vasyapupkin-supersite.com дает
> сертификат хоть и вроде валидный, но выписаный на google.com. Вы не поняли.
1) Вы заходите на google.com. Гуглком отдал один серт...Васе Пупкину! Который вклинился посередине. Вася его радостно получил со своей стороны. И установил секурное соединение с гуглем. Но вам этот серт ясен фиг не отдал совсем.
2) Вася присылает вам другой сертификат. Васин. Где тем не менее, какая-то ауторити (скорее всего другая) из списка доверяемых ауторитей браузера просто мамой клянется что вот именно этот вот Вася и его хост - google.com и все тут.
3) Поскольку Вася прислал вполне валидный на вид сертификат "якобы гуглокома" - для вас все выглядит как будто бы вы просто зашли на гуглоком.
Тем не менее, посередине линка сидит Вася. Он получает данные по SSL от вас, расшифровывает их, делает с ними все что сочтет нужным, перешифровавывает и закидывает гуглю (если посчитает нужным). В обратную сторону аналогично.
Тем не менее, подобная схема в принципе детектабельна.
1) Айпишник будет не из числа обычно принадлежащих данной конторе.
2) Сертификат, ясен хрен, другой. Если вы ранее юзали этот сервис и у вас есть старый серт, можно сравнить сертификат и если он существенно изменился с того момента - это уже должно вызывать вопросы. В принципе, может быть сертификат и просто перевыпущен. А может быть там наглый MITM орудует. Вариантов два.
Собственно основная проблема SSL в том виде как это сделано в браузере - в том что он никак не отслеживает такие фокусы с выпиской некоей ауторити сертификата который уже был выписан на тот же объект другой ауторити. Что позволяет постороннему закосить под этот объект, если одна из ауторитей облажается или обнаглеет.