Tengo una máquina detrás del servidor proxy corporativo de BlueCoat. Para cualquier sitio HTTPS obtengo un certificado firmado por la CA de BlueCoat, por ejemplo:
BlueCoat
*.duckduckgo.com
Las únicas excepciones son los sitios propiedad de Google para los cuales obtengo el certificado adecuado para google.com y la mayoría de sus SAN ( youtube.com no se ve afectado, android.com es interceptado):
GeoTrust Global CA
Google Internet Authority G2
*.google.com
expires on 2016-08-17
fingerprint 66:05:80:34:2A:DC:33:B8:92:78:5D:2C:F9:C9:69:F6:19:81:4A:35:DB:FF:19:89:3B:FA:5F:6B:33:37:58:FD
Obtengo los mismos resultados para los navegadores que utilizan los almacenes de certificados de Microsoft y Mozilla (aunque eso no debería importar).
Dudo que el administrador de proxy haya agregado deliberadamente una excepción para los dominios de Google, pero no puedo excluir eso (y no tengo ningún medio de confirmación).
¿Hay alguna otra explicación para omitir el proxy de BlueCoat al acceder a los sitios de Google? ¿O una forma de averiguarlo?
La fijación de certificados no debería tener nada que ver con esto (y todos los otros sitios como twitter.com vienen con certificados firmados por BlueCoat).