Sì il proxy intercetta sempre il traffico.
No non può leggere il traffico se si utilizza il certificato della destinazione desiderata.
Sì può leggere il traffico se falsifica la chiave pubblica, ma il browser visualizza un avviso, quindi
No non c'è modo di intercettare e leggere il traffico senza generare un avviso del browser.
La mia spiegazione inizia con questa frase:
The proxy creates a public key and sends it to the client and starts an encrypted connection.
Questo non è esattamente il modo in cui funziona. Il proxy dovrebbe inviare un falso certificato al browser, che includerebbe la chiave pubblica ma dovrebbe anche contenere altre informazioni, come il dominio che possiede la chiave. Inoltre, l'intero certificato è firmato digitalmente e quindi resistente alle manomissioni. La firma può essere verificata utilizzando la chiave pubblica dell'organizzazione che ha emesso il certificato. Quella chiave pubblica è a sua volta verificata da un altro certificato SSL, lungo tutta la catena, fino a quando non si raggiunge la CA. Il certificato CA è installato come parte del tuo sistema operativo, quindi la sua chiave pubblica è ben nota.
Quindi, a meno che il proxy non abbia una delle chiavi private della catena di trust, è impossibile che il proxy fornisca al browser un certificato falso o una chiave pubblica alternativa senza che il browser sappia che è falso-- può generare la firma
Se il proxy non può fornire un falso, non c'è modo di convincere il browser che la chiave pubblica e il nome del dominio vanno insieme, e il browser visualizzerà un avviso di phishing, trasformando la barra degli indirizzi in rosso.
Anche se si accede a un host tramite l'indirizzo IP, il certificato è ancora richiesto e il nome del dominio sul certificato può ancora essere visualizzato dall'utente finale. Il browser girerà sempre la barra degli indirizzi in rosso. Inoltre, l'utente finale può fare clic su un pulsante nel browser per visualizzare il certificato e determinare manualmente se il nome del dominio è corretto. Se il nome del dominio è sospetto, l'utente dovrebbe chiudere il browser e smettere di usare quell'endpoint.