Не факт. Во первых сурикаты несколько ядер для обработки трафика, и со скоростями до 4-х Гбит в секунду она справляется неплохо. Во вторых таки да, IDS ставится за СКЗИ и слушает нешифрованный трафик к вашим сервисам. А так согласен, установка IDS на SPAN порты мало чем эффективна.
Certificate pinning, strict transport security и Диффи-Хеллман = пиздец влажным мечтам инфосекеров почитать данные.
Диффи уязвим к манипуляции, он защищает от прослушки. HSTS не поможет если я рулю корневым сертом на твоём эндпоинте (а я рулю, у меня DLP с MiTM и ипотека). Пиннинг ну такое себе, кастом и не факт что секурный.