¿La conexión segura a través de un Proxy no cifrado es segura?

Esto puede ser seguro.

El cliente puede emitir una solicitud CONECTAR al proxy, que básicamente crea un túnel entre el cliente y el servidor de destino. De esta manera, el cliente puede configurar una conexión SSL a través del proxy, y el proxy verá el tráfico cifrado. Incluso si alguien más se hace pasar por el proxy, solo verá el tráfico cifrado.

Otra posibilidad es hacer una solicitud GET al proxy. Esto le pide al proxy que recupere una página en su nombre. Esto generalmente solo se usa para el tráfico HTTP, pero también puede funcionar para el tráfico HTTPS. Si su cliente utiliza este método para recuperar una página, el proxy puede ver todos los datos. Además, un atacante hombre en el medio puede hacerse pasar por el proxy y también ver todos los datos.

Si usas una conexión HTTPS con el proxy, es mucho más difícil para un atacante de hombre en el medio hacerse pasar por tu proxy.

También depende de su definición de cliente también. Como usted codificaría algo (no un navegador conocido) para no validar el certificado dado y eso podría ser un tipo de autofirmado por el proxy que mencionó.

Pero como el cliente no comprueba las cosas, el proxy podría engañar al cliente.

Además, vigile las redirecciones, puede solicitar facebook.com (suponga que todavía no tiene HSTS), pero el resultado podría redirigirse a algo como fb.example_proxy.com incluso en https con un certificado de confianza. Por lo tanto, como no toma la ruta que ha redirigido, el proxy ahora puede tener los datos que cree que está enviando al facebook.

Luego tuve algunos problemas con Firefox, donde Firefox marca algunos certificados completamente seguros con certificados de confianza como conexiones inseguras (incluso google.com). Me refiero a que incluso un cliente legendario como Firefox podría venir con este tipo de error, y también podría ser viceversa.