Имея любой HTTPS-сервер, например google.com, можем ли мы извлечь полезную нагрузку / ответ и подпись для этих данных?
Целью было бы сделать запрос и получить файл данных и подпись, которые можно было бы проверить с помощью стандартной системы центра сертификации.
Ни данные приложения не подписываются TLS, ни запрос / ответ не подписываются на уровне HTTP. А где никакой подписи нет, добыть нельзя. Однако данные приложения в TLS защищены от модификации человеком посередине. Но это делается с помощью HMAC, где ключ известен как клиенту, так и серверу, что означает, что клиент может создать HMAC для данных, отправленных сервером, и, таким образом, это не может использоваться в качестве доказательства того, что сервер что-то отправил.