Me gustaría saber si un certificado de CA que instalé se puede usar para realizar el descifrado DPI-SSL sin mi conocimiento. ¿Habría alguna indicación? ¿Puede consultar las propiedades de cert para determinar si puede utilizarse para este propósito?
DPI-SSL funciona haciendo un hombre en el ataque central : enmarca el derecho servidor mediante la generación dinámica de un certificado falso para ese servidor. Esto funciona solo si la CA correspondiente (la que emite el certificado falso sobre la marcha) es "de confianza" por parte del cliente. Por definición, esta CA "se ve como" cualquier otra CA Es diferente de la CA "normal" solo en que la clave privada es propiedad de algún sistema que hace el DPI, pero esto no está escrito en el propio certificado.
Lo que puede hacer es comparar los certificados en los que confía su máquina con los del almacén "CA raíz" de un sistema de escritorio genérico; compare las "huellas digitales" (estos son los valores de hash calculados sobre los propios certificados raíz). Presumiblemente, la CA raíz predeterminada no está involucrada en DPI; Cualquier certificado adicional es un potencial sospechoso.
Lea otras preguntas en las etiquetas tls certificates