An sich eine coole Sache. Aber das ist ja dann ein vollständiger MITM, dein Proxy?
Wie macht man das - Installiert man sich da ein Root Zertifikat ins OS rein und dann läuft der Spaß einfach so? Verhakt sich das nicht mit OCSP?
nein OCSP und andere Dinge sind absolut kein Problem,
auch die Geschichten mit HPKP udgl. nicht, denn diese HTTP Header filtert man auch weg;
nur mit Google Chrome heisst es aufpassen, die Schlitzohren haben deren CA Zertifikat hardcoded drin,
und des bekommt dann nicht gut;
die grüne Kindergartenleiste gibt es damit auch nicht mehr;
die Browser erkennen dies an Hand der OID des jeweiligen Intermediate Zertifikates der einzelnen CAs
im westentlichen, ich habs ein wenig mehr sophisticated;
ich hab ein eigenes Root CA,
mit dem hab ich das Proxy CA Zertifikat signiert und auch auch ein weiteres CA Zertifikat,
mit welchem ich die SSL-Zertifikate vom internen LAN signiert habe;
die verwende ich am lokalen SMTP-Server bzw. IMAP-Server als auch Apache;
meiner eigenen CA kann ich ja vertrauen
es hat Vor- und auch Nachteile; wenn ein Webmaster schlampig ist, und sein Zertifikat nicht erneuert,
bekommst Du vom Proxy eine Fehlerseite und kannst diese nicht einfach umgehen,
wenn Du der Meinung bist, dass es in Ordnung sei;
auf der anderen Seite gibst Du zentral vor, welchen CAs vertraut wird;
IE/Edge und Outlook nutzen den Certstore vom Windows,
im wesentlchen nutzt ihn unter Windows auch Google's Chrome
Mozilla FF sowie TB liefern ihren eigenen Certstore mit;
das eigene Root CA Zertifikat muss man nur einmal in die jewiligen Certstores importieren;