Der Weg über den die Daten kommen, kann dir egal sein, die Gegenstelle weist sich ja mit einem SSL-Zertifikat aus. Und ob die Daten vom selben Server kommen, kannst du überhaupt nicht wissen. Du siehst die selbe Domain, aber das verrät dir nichts über die dahinterliegende Infrastruktur.

1.) Nein, es ist nicht egal. Erfolgreiche Angreifer haben weit überwiegend häufig nicht die Freundlichkeit, gültige SSL-Zertifikate durch ungültige zu ersetzen.

2.) MIR jedenfalls verrät die übereinstimmende HOST-Adresse (Nicht: "DOMAIN") genug über die Infrastruktur um zu wissen, dass derjenige, der die Datei manipulieren konnte, sehr weit überwiegend wahrscheinlich auch den Hash anpassen konnte. Derlei ist oft genug passiert. Das gilt auch dann wenn es die Adresse eines Reverse-Proxys ist oder dahinter ein NFS-Server steht.

Und jetzt mir nicht mit der Nummer, dass der SHA384-Hash nur dazu diene, die Vollständigkeit und Korrektheit des Downloadvorganges zu verifizieren. Dafür hätte md5 oder sha1 völlig gereicht. Mit SHA384 wird hier lediglich PowerPoint&Buzzword-Freunden vorgemacht, wie fürchterlich sicher das doch alles sei... und bei SOWAS bekomme ich dann die von Dir erwähnten Bauschmerzen.