Bạn có thể tạo kết nối mTLS trong khi sử dụng SSL Proxy không?

Tôi đang sử dụng Proxy SSL/TLS, nghĩa là tôi đã cài đặt một CA trên tất cả các máy khách của mình để cho phép tôi ngắt/giải mã các kết nối TLS của họ. Tôi đang cố gắng xác định điều gì sẽ xảy ra với kết nối mTLS và liệu khách hàng có thể thiết lập kết nối thành công với mTLS trong khi vẫn cho phép proxy của tôi giảm thiểu lưu lượng hay không. Hơn nữa, tôi có thể chỉnh sửa lưu lượng hay chỉ chặn/giải mã nó không? Tôi không có quyền truy cập hoặc kiểm soát máy chủ mà máy khách đang cố kết nối.

Tôi tin rằng ít nhất tôi có thể thiết lập thành công kết nối và giải mã lưu lượng bằng cách gửi chứng chỉ ứng dụng khách hợp lệ cùng với máy chủ mục tiêu. Về cơ bản, tôi sẽ bắt chước máy khách, nhưng tôi có thể giả mạo phía máy chủ của kết nối bằng cách sử dụng các khóa đáng tin cậy của riêng mình để tôi có thể giữ lại khả năng giải mã thư từ máy khách đến máy chủ đích, nhưng tôi không chắc nếu tôi có thể giải mã phản hồi của máy chủ.

Tôi cũng không thể hình dung điều gì sẽ xảy ra trong vài bước tiếp theo khi cả hai máy chủ cố gắng thiết lập khóa đối xứng.

Với xác thực mTLS của cả chứng chỉ máy chủ và ứng dụng khách đều được thực hiện trong quá trình bắt tay TLS và trước khi bất kỳ dữ liệu ứng dụng nào được gửi.

Proxy MITM có thể cung cấp chứng chỉ máy chủ đáng tin cậy cho máy khách do CA proxy được máy khách tin cậy.Tuy nhiên, không thể cung cấp chứng chỉ ứng dụng khách đáng tin cậy cho máy chủ: Không thể chuyển chứng chỉ ứng dụng khách ban đầu do thiếu khóa riêng phù hợp trong proxy. Không thể tạo một chứng chỉ mới hoặc cung cấp một chứng chỉ khác vì nó không được máy chủ tin cậy.

Điều này có nghĩa là quá trình bắt tay TLS sẽ không thành công. Điều này cũng có nghĩa là không có dữ liệu ứng dụng sẽ được gửi ở nơi đầu tiên, không có hướng. Điều này cũng có nghĩa là không có gì để giải mã, không có dữ liệu từ máy khách đến máy chủ cũng như dữ liệu từ máy chủ đến máy khách.