Редирект HTTPS

Так и редиректить с самоподписанным сертификатом.

Или написать в NSA и попросить наконец опубликовать какую-нибудь принципиальную багу в ssl, которая позволит подписывать произвольный контент нужным ключом без знания закрытого ключа.

Если с самоподписанным, то броузер выдает сообшение о том что он самоподписанный. А еще есть варианты?

Никак

Возьми и прими в браузере сертификат.

Или хочешь, чтобы пользователи не имеющие отношения к твоей инфраструктуре гнали траффик в открытом виде до целевого https-сервeра?

Если поставить сертификат на роутер, то браузер ругается на то, что он самоподписанный

Let's Encrypt

Да. Это должно быть прозрачно для пользователей, как с http

Свой dns, captive portal с domain.name c сертификатом. Можно даже сделать небольшой dns hijacking.

Вне зависимости от уровня перехвата - подмена ли dns или просто ловля всего трафика на 443 порт вне зависимости от destination, если в строке браузера будет написано https://site.com/ - на странице перенаправления браузер покажет красный сертификат (или страницу что сертификат некорректен).

И тут уже не важно будет ли он самоподписанный или подписанный Let's Encrypt и соответствовать https://some-captive-portal.com

Потому что «подставить вместо https://site.com/ страницу с редиректом» с точки зрения безопасности частный случай «подставить вместо настоящей страницы фальшивую», от чего и призван защищать https.

Правда если есть возможность добавить всем пользователям свой доверенный корневой сертификат - то задача становится частично решаемой.

Тогда, если по ip определять куда пользователь пытается подсоединиться и генерировать ему в ответ сертификат на соответсвующий домен https://site.com/ - то для некоторых сайтов это прокатит. Но это тоже способ подсунуть фальшивую страницу, применяемый на практике в Китае, поэтому в https появилась опция, которая запрещает замену сертификата. И для сайтов использующих эту опцию - данный вариант не пройдёт.

Не покажет и даже с pinning'ом не покажет, ведь автор сам для своего нормальный подписанного CA, который есть в браузере его добавит. А вообще достаточно будет дать только доступ в интернет для sitename c captive portal, это если автор еще DNSSEC и TLSA записи прикрутит, и нужно будет проверку по ip пройти.

В общем я уже понял что это фишка самого https, что просто так редиректить на нужный сервер не получится, ибо еще никакие данные не передаются, а проверка сертификата уже началась. Решение у меня элементарное - блокирование всего https трафика до момента авторизации пользователя