Защищает ли HTTPS от MITM?

Домен конечно может быть RU а вот IP легко какой-нибудь US и значит вполне возможен MitM «для тех кому можно».

Вообще ты неправильно задаешь вопрос, ибо правильно заданный вопрос звучит как есть ли у тебя гарантия, что CA чьи сертификаты ты добавил как корневые не скомпрометированы.

Такой сертификат защищает от митм-атаки, а гарантом этой защиты выступает леценкрипт, глобалсайн или другой удостоверящий центр.

Защищает ровно в той степени, в которой ты доверяешь

«Let’s encrypt» или «Globalsign» (или другой сертификат от популярного зарубежного центра сертификации)

Для пущей надёжности надо ещё HSTS. Хотя и там есть ограничения.

Защищает ли такой сертификат от MITM-атаки?

Частично. Система сертификатов устроена так, что человек с влиянием хотя бы на один из доверенных центов сертификации без проблем может осуществить mitm-атаку. Еще роль играет то, как он на него заходит. Можно и http вместо https подсунуть.

Зачем так добавлять сертификаты?

Нет. Даже при условии, что Let’s Encrypt играет по всем правилам. Даже если никакой удостоверяющий центр не прогибается под требования силовиков.

Нигде нет гарантии, что валидацию домена в Let’s Encrypt провел реальный владелец, а не сотрудник DNS-хостинга под нажимом силовиков.

Напоминаю: Let’s Encrypt выдает сертификат, если видит, что сгенерированный им токен оказался доступен или в виде файла, доступного для скачивания по HTTP с защищаемого домена (не наш случай), или в виде DNS TXT-записи в этом домене. Эту запись сотрудники DNS-хостера запросто могут нарисовать и таким образом получить от Let’s Encrypt на 146% валидный сертификат. В Let’s Encrypt даже не догадаются, что выдали сертификат не законному владельцу домена, а «кому надо». Затем этот сертификат ставится на подконтрольный «кому надо» сервер, подменяется A-запись, и HTTPS-запросы после расшифровки проксируются на реальный сервер. Итог - успешный MITM.

Для пользователя, защиты от этого никакой нет. Для владельца домена, формально есть запись CAA, и даже можно разрешить выпуск сертификатов только при условии, что запрос идет с конкретной учетной записи Let’s Encrypt, идентифицированной по приватному ключу регистрации. Но я не вижу, как это может работать без DNSSEC, если DNS-хостинг по факту скомпрометирован и может нарисовать любую CAA-запись вместо настоящей.

ответ на этот вопрос будет состоять из двух частей

часть первая,пояснительная.

обратимся к аналогии. защищает ли замок? да, защищает. от кого? от тех, кто ломится в дверь, открытию которой препятствует этот замок. от всех, кто ломится в дверь? нет. от пьяного Васяна таки да, а от СОБРа - таки нет. значит, замок помогает защититься от всех, кто в комплекции и кондиции условного Васяна? да, но с тем условием, что условный Васян будет ломиться строго в дверь, игнорируя, к примеру, окна.

часть вторая, по существу заданного вопроса.

ответ - да, защищает. от Васянов. от Васянов - даже с некоторым запасом.

А ответ на твой вопрос защищен от MITM?