Da ciò che capisce, SSL-Strip si trova tra l'utente di destinazione e il server, stabilendo una connessione HTTPS tra sé e il server e un canale HTTP vecchio e non protetto tra sé e l'utente di destinazione.
Ciò che mi confonde è in una demo video dello strumento , uno dei prerequisiti era un certificato SSL .
Perché è richiesto il certificato? Non è possibile che il "proxy del computer che agisce come un falso utente" rimandi il testo in chiaro all'utente senza uno? In effetti, sembra che l'unica ragione per cui sarebbe richiesto un certificato SSL firmato sarebbe se l'intermediario restituisse i dati crittografati HTTPS all'utente.