คุณสามารถสร้างการเชื่อมต่อ mTLS ขณะใช้พร็อกซี SSL ได้หรือไม่

ฉันใช้พร็อกซี SSL/TLS ซึ่งหมายความว่าฉันได้ติดตั้ง CA บนไคลเอนต์ทั้งหมดของฉันที่อนุญาตให้ฉันทำลาย/ถอดรหัสการเชื่อมต่อ TLS ของพวกเขา ฉันกำลังพยายามพิจารณาว่าจะเกิดอะไรขึ้นกับการเชื่อมต่อ mTLS และเป็นไปได้หรือไม่ที่ไคลเอ็นต์จะสร้างการเชื่อมต่อที่สำเร็จด้วย mTLS ในขณะที่ยังอนุญาตให้พร็อกซีของฉันรับส่งข้อมูล นอกจากนี้ ฉันสามารถแก้ไขการรับส่งข้อมูลหรือเพียงแค่สกัดกั้น/ถอดรหัสได้หรือไม่ ฉันไม่มีสิทธิ์เข้าถึงหรือควบคุมเซิร์ฟเวอร์ที่ไคลเอนต์พยายามเชื่อมต่อ

ความเชื่อของฉันคืออย่างน้อยฉันสามารถสร้างการเชื่อมต่อและถอดรหัสการรับส่งข้อมูลได้สำเร็จโดยส่งใบรับรองไคลเอ็นต์ที่ถูกต้องไปยังเซิร์ฟเวอร์เป้าหมาย โดยพื้นฐานแล้วฉันจะเลียนแบบไคลเอนต์ แต่ฉันสามารถปลอมแปลงการเชื่อมต่อฝั่งเซิร์ฟเวอร์ได้โดยใช้คีย์ที่เชื่อถือได้ของฉันเอง ดังนั้นฉันจึงคงความสามารถในการถอดรหัสข้อความจากไคลเอ็นต์ไปยังเซิร์ฟเวอร์เป้าหมาย แต่ฉันไม่แน่ใจ ถ้าฉันสามารถถอดรหัสการตอบสนองของเซิร์ฟเวอร์ได้

นอกจากนี้ ฉันยังคิดไม่ออกว่าจะเกิดอะไรขึ้นในอีกไม่กี่ขั้นตอนถัดไป เมื่อโฮสต์ทั้งสองพยายามสร้างคีย์สมมาตร

ด้วยการตรวจสอบสิทธิ์ mTLS ของทั้งเซิร์ฟเวอร์และใบรับรองไคลเอ็นต์จะทำได้ภายใน TLS handshake และ ก่อนส่งข้อมูลการสมัครใดๆ.

เป็นไปได้ที่พร็อกซี MITM จะให้ใบรับรองเซิร์ฟเวอร์ที่เชื่อถือได้แก่ไคลเอนต์ เนื่องจากไคลเอนต์เชื่อถือ CA พร็อกซีเป็นไปไม่ได้ที่จะมอบใบรับรองไคลเอ็นต์ที่เชื่อถือได้ให้กับเซิร์ฟเวอร์: การผ่านใบรับรองไคลเอ็นต์ดั้งเดิมเป็นไปไม่ได้เนื่องจากไม่มีคีย์ส่วนตัวที่ตรงกันในพร็อกซี ไม่สามารถสร้างใบรับรองใหม่หรือระบุใบรับรองอื่นได้ เนื่องจากเซิร์ฟเวอร์ไม่เชื่อถือ

ซึ่งหมายความว่าการจับมือ TLS จะล้มเหลว นี่ก็หมายความว่า จะไม่มีการส่งข้อมูลการสมัคร ในตอนแรกอย่างไร้ทิศทาง นอกจากนี้ยังหมายความว่าไม่มีอะไรให้ถอดรหัส ทั้งข้อมูลจากไคลเอนต์ไปยังเซิร์ฟเวอร์หรือข้อมูลจากเซิร์ฟเวอร์ไปยังไคลเอนต์