Explication

Normalement, un site web sécurisé justifie son identité auprès de votre navigateur par l’envoi d’un certificat de sécurité de type « serveur » validé par une autorité de certification reconnue. Les techniques d'interception, pour pouvoir fonctionner, génèrent dynamiquement de faux certificats de type « serveur » (un peu comme une fausse carte d'identité).
L'extension de navigateur que nous vous proposons permet de vérifier que le certificat reçu est bien celui qui a été envoyé. L'extension va donc comparer le certificat vu par le client (1) avec celui vu par le serveur externe de vérification (2). Le serveur externe de vérification* va comparer ces deux certificats (3). S'ils diffèrent, votre connexion est sur-écoute (cadenas rouge). Cela est suffisant pour prouver l'interception.
Voici un schéma simplifié permettant de comprendre le test effectué par l'extension :


addon
Voici ce que fait checkmyhttps si vous effectuez un test sur un site HTTPS (exemple https://facebook.com)

* ce serveur est par défaut « checkmyhttps.net ». Vous pouvez installer votre propre serveur (cf. doc sur le github).