Puteți crea o conexiune mTLS în timp ce utilizați un proxy SSL?

Folosesc un proxy SSL/TLS, adică am instalat un CA pe toți clienții mei care îmi permite să întrerup/decriptez conexiunile lor TLS. Încerc să determin ce s-ar întâmpla cu o conexiune mTLS și dacă ar fi posibil ca un client să stabilească o conexiune de succes cu mTLS, permițând în același timp proxy-ului meu să reducă traficul. În plus, pot edita traficul sau doar îl pot intercepta/decripta? Nu am acces sau control la serverul la care clientul încearcă să se conecteze.

Convingerea mea este că aș putea cel puțin să stabilesc cu succes conexiunea și să decriptez traficul trimițând certificatul client valid către serverul țintă. În esență, aș imita clientul, dar aș putea crea partea de server a conexiunii folosind propriile mele chei de încredere, astfel încât să-mi păstrez capacitatea de a decripta mesajele de la client la serverul țintă, dar nu sunt sigur dacă pot decripta răspunsurile serverului.

De asemenea, nu pot să-mi dau seama ce se întâmplă în următorii câțiva pași când ambele gazde încearcă să stabilească o cheie simetrică.

Cu mTLS, autentificarea atât a certificatului de server, cât și a clientului se realizează în cadrul TLS handshake și înainte de trimiterea oricăror date aplicației.

Este posibil ca proxy-ul MITM să furnizeze clientului un certificat de server de încredere, deoarece CA proxy este de încredere de către client.Totuși, nu este posibil să furnizați serverului un certificat de client de încredere: transmiterea certificatului de client original este imposibilă din cauza lipsei cheii private corespunzătoare în proxy. Nici crearea unui certificat nou sau furnizarea unui alt certificat nu este posibilă, deoarece serverul nu are încredere.

Aceasta înseamnă că strângerea de mână TLS va eșua. Aceasta înseamnă și că nu vor fi trimise date aplicației în primul rând, în nicio direcție. Acest lucru înseamnă, de asemenea, că nu există nimic de decriptat, nici date de la client la server, nici date de la server la client.