Je MITM systém v takovém případě schopný komunikaci rozšifrovat?
Předpokládám, že ten privátní klíč ke klientskému certifikátu máte jen vy. Pokud vám v takovém případě MitM pošle svůj certifikát, dokáže komunikaci mezi vámi a MitM rozšifrovat. Ale nedokáže se už vaším certifikátem autentizovat k vzdálenému serveru, takže z něj nedokáže získat data. Tj. dokázal by takhle získat tajné údaje od vás, ale ne ze serveru.
Pokud správce toho MitM serveru tedy nechce komunikaci s tím cílovým serverem úplně znemožnit, nezbývá mu, než v tomhle případě nepodvrhovat vlastní certifikát a komunikaci nechat tak jak má být, tedy je šifrovaná mezi serverem a klientem, proxy nedělá MitM a do té šifrované komunikace nevidí. Konkrétní nastavení závisí na firemní politice – pokud se např. přihlašujete certifikátem k firemní datové schránce tak vám tu komunikaci asi umožnit musí. Pokud nemáte v popisu práce přihlašovat se někam certifikátem, snadno zdůvodní, že to tedy ke své práci nepotřebujete a že tu komunikaci mohou klidně zaříznout.
Technicky je to zařízené tak, že klient vlastnictví privátního klíče prokazuje tak, že jím podepíše vše, co bylo součástí předchozí komunikace (ustavení TLS spojení), a její součástí je i serverový certifikát. Takže pokud MitM útočník podvrhne svůj certifikát, podepíše klient ten a serveru nebude sedět podpis. Pokud MitM útočník nepodvrhne svůj certifikát a nechá tam původní serverový, nebude moci rozšifrovat komunikaci.
Ono to plyne i z toho, co má TLS zajišťovat. Pokud se připojujete bez přihlašovacího certifikátu, autentizuje se pouze server vám (klientovi) – a vy uděláte tu „chybu“, že uvěříte špatnému certifikátu. Pokud se ale přihlašujete klientským certifikátem, je to vzájemná autentizace – klient autentizuje (koho, co) server, ale zároveň i server autentizuje klienta. Klient sice opět může důvěřovat falešnému certifikátu, ale server (správně napsaný) na případný falešný certifikát klienta nenaletí.
Samozřejmě to závisí na tom, že ten privátní klíč pro klientský certifikát máte opravdu jenom vy. Pokud vám certifikát generovala nějaká firemní autorita, a abyste se o to nemusel starat, vygenerovala vám i privátní klíč, pak je samozřejmě možné, že jí ten privátní klíč zůstal někde za nehty a teď se jím může přihlašovat místo vás.