Por lo que entiendo, SSL-Strip se ubica entre el usuario objetivo y el servidor, estableciendo una conexión HTTPS entre sí mismo y el servidor, y un canal HTTP simple y sin garantía entre él y el usuario objetivo.
Lo que me confunde es, en una demostración de video de la herramienta , uno de los requisitos previos era un certificado SSL .
¿Por qué se requiere el certificado? ¿No puede el "proxy de la computadora que actúa como un usuario falso" enviar el texto simple al usuario sin uno? De hecho, parece que la única razón por la que se requeriría un certificado SSL firmado sería si el intermediario le devolviera al usuario los datos cifrados HTTPS.