Eu administro um site científico, chamo de site.org, que é espelhado em três locais, todos listados no DNS como site.org para que os clientes escolham um espelho específico aleatoriamente. Os espelhos individuais são server1.site.org, etc. O certificado LetsEncrypt cobre site.org mais os nomes dos espelhos. Todos os espelhos estão dentro de universidades que estão doando largura de banda; não tenho financiamento para pagar pela largura de banda sozinho.
Uma universidade, univ.edu, decidiu recentemente que para "controle de segurança da comunicação https" (palavras deles) todos os sites dentro de sua rede devem estar atrás de seu certificado curinga *.univ.edu. A implementação deles é que no firewall, quando eles veem uma conexão de porta 443, eles interceptam o handshake SSL e substituem seu próprio certificado. Meu servidor nunca vê o handshake do certificado. O navegador do cliente vê o certificado *.univ.edu e o rejeita porque ele não cobre site.org. Pedi que o IP do meu servidor fosse colocado na lista de permissões para passagem, e eles disseram que fazer isso "não era possível".
Para mim, substituir o certificado deles pelo meu parece um ataque de adversário no meio. Para ser justo, não sei se eles estão realmente sentados lá e monitorando o tráfego, mas não vejo nada que os impeça de fazer isso. Não dou a mínima para o monitoramento para meus próprios propósitos (tudo no site é público de qualquer maneira), mas parece uma má ideia para mim, embora torne muito mais fácil para eles gerenciarem certificados para sites dentro do univ.edu.
Então: é normal que grandes organizações usem uma abordagem AITM para gerenciar certificados? Isso é realmente só porque eles querem bisbilhotar todas as conexões (de entrada, mas não de saída)? Há razões que eu não pensei para que isso seja uma Má Ideia?
Fundamentalmente, estou procurando argumentos fortes que eu possa usar para convencê-los a sair de sua posição. Se eles não cederem, temo que terei que desligar o espelho, o que seria triste para meus usuários, porque esse espelho tem uma largura de banda muito melhor para o continente em que está localizado. (Sugestões alternativas seriam apreciadas, no entanto!)