Aki bele tud nyúlni a forgalomba, anélkül, hogy észrevennéd, a checksumba is bele tud nyúlni.
Idéznéd, hogy hol írtam azt, hogy minden SSL/TLS nélkül menjen? Szerintem sehol. Az írtam, hogy a statikus és publikus tartalmakat teljesen felesleges titkosítani és titkosítva átküldeni, amikor vannak erre olcsóbb megoldások, mert az SSL/TLS felépítése és az adat átküldése erőforrás igényes. Szóval a kérdésedre a válasz: ahol meghivatkozom a checksum ellenőrzött resource-ot, az nyilván SSL/TLS védett, nem tudja kicserélni a rosszarcú a checksum. A hivatkozott resource-ot meg azért nem, mert nem fog rá stimmelni a checksum. Ha egy checksum ellenőrzött resource hivatkozik egy másik ilyen resource-re, akkor meg ott van már egy checksum lánc, aminek az első lépése SSL/TLS védett.