E parlo di scenari in cui esprimi esplicitamente che gli utenti sanno che il MITM sta accadendo e dove gli utenti devono rispettare (per esempio, il Kazakistan voleva avere un proxy MITM a livello nazionale, per proteggere i propri cittadini da siti stranieri malevoli , vai anche fino a chiedi a Mozilla di includere la loro CA .)
Ma non riesco a pensare a uno scenario in cui non è necessario gestire le connessioni tra il proxy MITM e il server remoto. E questo mi sembra molto costoso per me su scala nazionale.
Quindi la mia domanda:
È possibile MITM TLS senza mantenere la connessione tra proxy e server remoto? Quando il cliente rispetterà il tuo ordine per installare il certificato CA root.
Supponiamo di dover gestire anche HSTS e gli utenti utilizzano i normali browser.
(Naturalmente, usare backdoor su OS / Browser sarà più semplice del dirottamento di TLS, ma supponiamo di dover seguire il percorso di hijack.)