Eu administro um site científico, chamo de site.org, que é espelhado em três locais, todos listados no DNS como site.org para que os clientes escolham um espelho específico aleatoriamente. Os espelhos individuais são server1.site.org, etc. O certificado LetsEncrypt cobre site.org mais os nomes dos espelhos. Todos os espelhos estão dentro de universidades que estão doando largura de banda; não tenho financiamento para pagar pela largura de banda sozinho.
Uma universidade, univ.edu, decidiu recentemente que para "controle de segurança da comunicação https" (palavras deles) todos os sites dentro de sua rede devem estar atrás de seu certificado curinga *.univ.edu. A implementação deles é que no firewall, quando eles veem uma conexão de porta 443, eles interceptam o handshake SSL e substituem seu próprio certificado. Meu servidor nunca vê o handshake do certificado. O navegador do cliente vê o certificado *.univ.edu e o rejeita porque ele não cobre site.org. Pedi que o IP do meu servidor fosse colocado na lista de permissões para passagem, e eles disseram que fazer isso "não era possível".
Para mim, substituir o certificado deles pelo meu parece um ataque de adversário no meio. Para ser justo, não sei se eles estão realmente sentados lá e monitorando o tráfego, mas não vejo nada que os impeça de fazer isso. Não dou a mínima para o monitoramento para meus próprios propósitos (tudo no site é público de qualquer maneira), mas parece uma má ideia para mim, embora torne muito mais fácil para eles gerenciarem certificados para sites dentro do univ.edu.
Então: é normal que grandes organizações usem uma abordagem AITM para gerenciar certificados? Isso é realmente só porque eles querem bisbilhotar todas as conexões (de entrada, mas não de saída)? Há razões que eu não pensei para que isso seja uma Má Ideia?
Fundamentalmente, estou procurando argumentos fortes que eu possa usar para convencê-los a sair de sua posição. Se eles não cederem, temo que terei que desligar o espelho, o que seria triste para meus usuários, porque esse espelho tem uma largura de banda muito melhor para o continente em que está localizado. (Sugestões alternativas seriam apreciadas, no entanto!)
É perfeitamente normal que uma organização (universidade, empresa, ...) queira controlar o tráfego dentro de sua rede. Isso inclui inspeção e filtragem do tráfego para segurança e conformidade, talvez com algumas exceções para privacidade. Afinal, é a rede deles e eles são responsáveis por ela.
Também é comum que sites espelho hospedados por terceiros não sejam todos subdomínios de um nome de domínio comum, mas, em vez disso, tenham domínios que refletem a organização à qual pertencem. Não sei o que torna impossível para você seguir essa abordagem.
Não tenho certeza se isso significa que todos esses sites usam o mesmo certificado, incluindo a mesma chave privada. Nesse caso, a chave privada é distribuída não apenas por vários servidores, mas esses servidores (ou pelo menos a infraestrutura que hospeda os servidores) também são gerenciados por diferentes organizações. Isso aumenta o risco de comprometer a chave privada. É melhor usar certificados separados.