Проверка сертификата

браузер стучится в центр сертификации и он уже проверяет подлинность.

нет, у браузера есть локальная копия корневого сертификата от центра сертификации, он проверяет у себя на месте

к сторонним серверам он может стучаться на предмет проверки, не отозван ли этот сертификат

Там дерево сертификатов какой-то для?

В любом случае, как это помешает кому-то вклиниться посередине и отправить свой сертификат?

Никак не мешает. Вся PKI держится на шатком допущении, что доверенные центры сертификации не выдают какие хочешь сертификаты кому попало.

У «кого-то» нет секретного ключа центра сертификации, и он не сможет подписать сертификат так, чтобы браузер его признал. По идее должно быть так.

Я к чему спросил, вычитал, что правоохранительные органы заставляют браузеры подменять сертификаты, получается что https вообще не защищает от анализа данных

Получается если это какое-то официальное представительство, то ему сертификат выдадут

Только правительство Казахстана, например, это не осилило и просит граждан самих поставить корневые сертификаты…

Ну это раскрывается и убивает репутацию сертифицирующих центров. Браузеры кроме гугловского тоже не участвуют в подмене а используют сертификаты центров (хотя они могут относиться жестко или мягко к подмене или включать или отключать пининг по желанию). Тут просто решает лобби и денежка. Но откровенно на сотрудничество идут редко.

А как они с пинингом борятся?

Не знаю. Тут были темы народа из Казахстана, может там подробности есть.

А, тут сейчас большая кампания против пиннинга, сертцентры хотят свою долю государственного пирога. Да и хедеры дропаются. Все нормально, уже все всё порешали.