Можно ли извлечь полезную нагрузку / ответ и подпись для этих данных с помощью любого HTTPS-сервера, например google.com?
Целью будет сделать запрос и получить файл данных и подпись, которые можно будет проверить с помощью стандартной системы центра сертификации.
Ни данные приложения не подписаны TLS, ни запрос / ответ не подписан на уровне HTTP. А где никакой подписи нет, добыть нельзя. Однако данные приложения в TLS защищены от модификации человеком посередине. Но это делается с помощью HMAC, где ключ известен как клиенту, так и серверу, что означает, что клиент может создать HMAC для данных, отправленных сервером, и, следовательно, это не может использоваться в качестве доказательства того, что сервер что-то отправил.