Actualmente estoy configurando un firewall pfSense en mi laboratorio. Es compatible con SSL Inception, que funciona bastante bien para la mayoría de los sitios.
Pero hay algunos sitios que usan HTTP Pinturas de Clave Pública para evitar ataques MitM y esto es un verdadero problema porque los sistemas detrás del firewall no solo se han configurado y han clavado claves públicas en algunos casos que luego rompen el SSL para esos sitios .
Una forma de evitar esto es deshabilitar HPKP, que es posible en firefox configurando security.cert_pinning.enforcement_level
a 0
y funciona bien. ¿Hay otra forma de solucionar este problema?
// El host en el que probé esto era una máquina Kali con el navegador Iceweasel.
El error que se me mostró dijo que la conexión era droppen debido a HSTS, lo cual fue muy confuso porque también había sitios web que usan HSTS y la intercepción funcionó bien. Luego me di cuenta de que esto aparentemente tiene que ver con HPKP y después de desactivarlo, los errores de HSTS ya no aparecían.
Esto parece ser un problema específico del software. Después de que @Steffen Ullrich me señaló que esto no debería estar sucediendo, lo intenté con un cliente de Windows 7 y Chrome como navegador y funcionó bien.