« Отговор #13 -: Sep 04, 2016, 21:34 »
Файлът с контролната сума не е ключ. Единствената цел, с която се дава, е да можеш да провериш дали сваленият при теб файл връща същата контролна сума, която пише във файла, което да използваш като допълнителна (но негарантирана, тъй като файлът или съдържанието му може да са подменени) проверка дали свалянето на файла е протекло коректно. И този файл така или иначе трябва да се предостави публично, така че е все тая дали е точно до ISO-то, или не - пак може да бъде подменен при компрометиране на сайта, още по-малко значение има мястото му при компрометиране на DNS.
За сертификата. Нужно е да има такъв по две причини. Първата е, за да се криптира връзката между клиента и сървъра, така че да не могат да се прочетат данните, които се изпращат по нея (обикновено данни за вход или друга конфиденциална информация). За целта може да се използва и самоподписан сертификат, въпреки страшните съобщения за несигурен сайт. Но в този сайт не виждам да има обмен на конфиденциални данни, така че е все тая. Втората причина е, за да бъде сигурен потребителят, че наистина е отворил сайта, който мисли, че отваря. В този случай самоподписаните сертификати са сложни за използване, тъй като означава да проверяваш всяка страница, която отваряш, с какъв сертификат е подписана, и затова трябва сертификатът да е издаден от издател, чиито вериги имате налични (по подразбиране или допълнително сте инсталирали) в браузъра си, като се доверявате на този издател, че не е издал сертификат за същия домейн и на друг човек, при което единствено трябва да внимаваш сайтът да е с правилното катинарче в адресната си лента и да не изкарва предупреждения за несигурност. На път сме да се появи и трета причина - браузърите да обявят http адресите за несигурни и да започнат да отварят по подразбиране https адреси, като някои търсачки вече дават по-висок приоритет на https адреси.
Никое от тези неща не ви защитава от подменени линкове и файлове в съдържанието на сайта!