Теоритический вопрос про анализирование https

добровольно принудительно попросят поставить сертификат «для доступа к корпоративным ресурсам», например

Они работают в виндовых доменах. На клиентские машины политикой спускается самоподписанный сертификат этого прокси и выставляется доверие ему. С линуксами можно то же самое, только не двумя щелчками мыши, как с групповыми политиками.

Гуглехром может заматериться в случае с, например, гуглем (в хром зашит правильный сертификат на несколько частных случаев и ему пофиг, что система думает о доверии левым корневым сертификатам). В других браузерах — хз.

Самоподписанные сертификаты, для которых уже добавлены исключения — основной источник проблем, софт заматерится на них в первую очередь.

так администратор безопасности понасуёт во все интернет експлореры корень этого аладина, а большего для ковыряния в ssl, как правило, не требуется.

Всем спасибо, действительно все просто получается если сертификат приходит сверху по политикам.

Не совсем всё просто. Если пользователь должен пройти аутентификацию на удаленном сервере используя свой приватный ключ, то SSL/TLS прокси работать не будет.

Ну это понятно. Будем ждать пока бухи отгребут проблем и начнут карать безопастников.

Кроме описанного выше есть ещё вариант когда какой-то УЦ, которому браузеры доверяют, выпускает сертификат для домена *.* и передаёт его производителю DLP (или ещё кому-то кому положено).
Но это уже совсем отдельный случай.