Ja und neu
Vertraut ihr auch keiner next Gen Firewall die TLS Inspection macht?
Der große Unterschied ist, dass wenn ich ein DPI/TLS-I einsetzte, ich dies selbst "aktiv" einsetzte, betreue und eben auch derjenige bin, der das Ent- und Verschlüsseln steuert. Nur ich es bin, der in den entschlüsselten Datenverkehr schauen kann. Ob und wohin Daten abfließen steht in meiner Verantwortung, ich kontrolliere den Datenverkehr! Ebenso stehen die eingesetzten Zertifikate unter meiner Kontrolle, nur ich habe die private keys.
Bei solch einem AdBlocker wie hier AdGuard oder einem Antiviren Programm auf Client-Eben gebe ich diese Kontrolle vollständig an den Hersteller der Programme ab. Ich muss diesem Hersteller blind vertrauen.
AdGuard kann, wenn "HTTPS Filtering" aktiv ist, sämtliche Passwörter, Mails, etc. mitlesen.
Ein Versprechen, dass sie es nicht tun, ist heute leider nichts mehr wert. Darauf kann man sich nicht verlassen.
Wie gut die Sicherheitsvorkehrungen gegen Einbrüche beim Hersteller sind, liegt nicht in meiner Hand.
Das es hier auch schon bei "namenhaften" Herstellern zu ziemlich heftigen Problemen gekommen ist, zeigt Symantec sehr eindrucksvoll. Die haben in der Vergangenheit schon mehrmals Mist gebaut, incl. "verlorenen" Schlüsseln (die an dunkelen Orten wieder aufgetaucht sind) und Ausnutzen ihrer Stellung als CA. Viele Systeme haben daraufhin Symantecs CA vollständig auf Blacklists gesetzt und sie haben Zeitweise sogar ihre Stellung als CA komplett verloren.
Zu guter letzt hast du immer mehr Dienste im Web, die auf so etwas wie TLS Inspection gar nicht gut reagieren.
Grob gesagt wird geprüft, ob das Zertifikat, dass der Client "bekommen" hat auch das ist, dass der Server ausliefert.
Wird das Zertifikat zwischendrin durch ein man-in-the-middle, oder wie hier einem TLS-I "ausgetauscht", bricht die Verbindung ab. Das ist z.B. auch ein Thema bei SSL Offloading auf Loadbalancern.
In einem Firmenetz ist nicht so das große Problem. Dort können spezielle Lösungen für die benötigten Diense bereitgestellt werden. Wenn sich Hans Peter nicht mehr auf Netflix* anmelden kann, wäre das vielleicht ja sogar gar nicht schlecht. (*Ist jetzt einfach ein völlig aus der Luft gegriffenes Beispiel!)
Im besten Fall sind hier ja sowieso nur bestimme Dienste/Webseiten erlaubt.
Im Privaten kann das aber schon zu erheblichen Problemen und Einschränkungen kommen.