DPI-SSL funziona facendo un uomo nell'attacco centrale : incornicia la destra server generando dinamicamente un certificato falso per quel server. Funziona solo se la CA corrispondente (quella che emette il certificato falso al volo) è "attendibile" dal client. Per definizione, questa CA "assomiglia" a qualsiasi altra CA. È diversa dalla CA "normale" solo in quanto la chiave privata è di proprietà di un sistema che fa il DPI, ma questo non è scritto sul certificato stesso.
Quello che puoi fare è confrontare i certificati che la tua macchina si affida a quelli dell'archivio "root CA" di un sistema desktop generico; confrontare le "thumbprints" (questi sono i valori hash calcolati sui certificati radice stessi). Presumibilmente, la CA radice predefinita non è coinvolta nel DPI; qualsiasi certificato extra è quindi un potenziale sospetto.
Leggi altre domande sui tag tls certificates