<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">Certificate validation isn&#39;t needed unless the attacker can do a direct MITM<br>
</div>
at connection time, which is a lot harder to maintain than injecting a<br>
client.reconnect.<br></blockquote><div><br></div><div>Surely the TCP connection will be reset once the route reconfiguration is completed, either by the MITM server or by the client TCP stack when it discovers the server doesn&#39;t know about the connection anymore? </div>
<div><br></div><div>TLS without cert validation defeats the point, you can still be connected to a MITM at any point by anyone who can simply interrupt or corrupt the stream, forcing a reconnect.</div></div></div></div>