Сайт+сертификат от една страна, кеш/fingerprint на сертификата от друга. Когато сайтът ти прати сертификат може да провериш дали евентуално не е наскоро променен в сравнение с кеша, т.е. не променен наистина, а заместен от фалшив сайт+фалшив сертификат, който се представя за истинския.
Този, който може да те mitm-ва и да ти представи сертификат, който минава проверката срещу trusted CA ключовете в браузъра (например имаше такива случаи в мрежата на държавния телеком на Иран), със сигурност ще може и да ти пренасочи dns трафика към фалшив сървър, който ще ти сервира "верния" fingerprint.