Этот сайт утверждает, что HTTPS не обеспечивает достаточной безопасности, поскольку сам центр сертификации может быть подделан DNS. https://protonvpn.com/blog/public-wifi-and-https/
Это кажется маловероятным. Если Chrome ведет локальный список доверенных центров сертификации, почему бы им также не вести список своих открытых ключей? Подмена DNS не может подделать открытые ключи ЦС, хранящиеся в моем клиенте (при условии, что Chrome хранит их, я точно не знаю).
Список доверенных ЦС, который есть в браузерах (и других клиентах TLS), состоит из списка открытых ключей ЦС. Им не нужно подключаться к ЦС для доступа к ключу. Этот механизм можно расширить, импортировав открытый ключ других центров сертификации (корпоративных или частных), которым вы хотите доверять.
Центры сертификации ведут списки отозванных сертификатов. Необходимо связаться с центром сертификации, чтобы проверить, не был ли отозван сертификат. Результаты этой проверки можно кэшировать, поэтому нет необходимости проверять каждый раз, когда отображается сертификат. В этом нет необходимости, если сайт использует сшивание OSCP для обеспечения подписанной проверки.
Возможно, есть возможность подделать DNS для перенаправления запросов на отзыв. Однако дать должным образом подписанный ответ будет крайне сложно.
Существует риск того, что кто-то может убедить ЦС предоставить сертификат, который не принадлежит организации, указанной в сертификате. Это одна из причин отзыва сертификатов. Существуют механизмы, позволяющие организациям опубликовать центр сертификации или центры, которым разрешено подписывать свои сертификаты.
Описанную атаку можно усложнить, отозвав доверие для большинства сертификатов по умолчанию. Это должно заставить браузер выдавать предупреждение, если он получает сертификат, подписанный ненадежным центром сертификации. Центры сертификации теперь знают об этой проблеме и вряд ли будут выдавать сертификаты для сайтов, использующих эту атаку. Провайдер браузера, скорее всего, удалит все центры сертификации, которые выдают сертификаты, используемые в таких атаках.
Описанная атака вряд ли будет успешной, если вы просматриваете сайты, используя URL-адреса из закладок или недавно посещенных сайтов. Поддельные URL-адреса будут вам нравиться, но браузеру все равно, как выглядит URL-адрес.