Hallo,
Wenn ich es richtig verstanden habe, fragt ja der Browser bei einem umbekannten Zertifikat die Zertifizierungsserver ab, ob das Zertifikat gültig ist. dazu wird eine zweite Http-Verbindung aufgebaut, für die es extrem umwarscheinlich ist, dass sie zufällig über die gleichen Server im Netz aufgebaut wird, wie die erste und auf denen potentiell der "Man in the Middle" sitzen könnte.
So weit ich weiß, wird hierzu keine zweite HTTP-Verbindung aufgebaut - die Information, ob Dein Host vertrauenswürdig ist, steckt bereits im Sicherheitszertifikat, welches Dir die CA (oder eben Du selbst :)) ausstellt. Mag mich täuschen, aber hier siehts auch so aus.
Der Rest stimmt allerdings. Der Einsatz eines selbst-signierten Zertifikats schützt Dich nur davor, dass Daten unverschlüsselt über die Leitung gehen und "mitgelesen" werden können - es verhindert aber keine Man-in-the-middle-Attacken, bei denen jemand seinen Server als Deinen ausgibt.
wüstest du, welche funktion man in welcher reihenfolge mit welchen parametern in welchem format ansprechen müsste?
Nein. Deswegen frug ich ja, ob eine Kommunikation auf HTTPS-Ebene nicht reichen würde. Wenn Du natürlich so tief hinunter musst, dass Du an die Roh-Daten heran musst, wirds natürlich knifflig.
Viele Grüße,
Jörg