Comme pour le STS, la première fois que tu te connecte à un site en HTTPS, tu stocke les ciphers autorisés(et la chaine de certification au passage).
Aux visites suivantes, tu compares ce que tu as maintenant à ce que tu as eu dans le passé.
Si cela ne matche pas, tu soulève une alerte.