@NicoPesto : vous m'avez mal lu/compris, et, de plus, je ne porte pas de jugement de valeur.
Vous avez lu les documents de l'ANSSI.
Très bien, moi aussi, et d'ailleurs, je les cite, cf @jdh:
Se pose la question du déchiffrement des sessions HTTPS.
Les bonnes recommandations (pour la France) :
CNIL : (mars 2015) https://www.cnil.fr/fr/analyse-de-flux-https-bonnes-pratiques-et-questions
ANSSI : (juin 2012) https://www.ssi.gouv.fr/agence/publication/ssltls-etat-des-lieux-et-recommandations/
ANSSI : (octobre 2014) https://www.ssi.gouv.fr/guide/recommandations-de-securite-concernant-lanalyse-des-flux-https/
Dans ce dernier document, l'aspect juridique est (esquissé) à partir de la page 26 …
(Lisez ce qu'écrit ccnet dans ce fil …)
Le déchiffrement pose des problèmes techniques et juridiques, en particulier d'informations des utilisateurs ! (C'est factuel)
Un erreur de compréhension est faite très généralement (quand on méconnait les détails précis) :
si le besoin est de blacklister, nul besoin de déchiffrer,
si le besoin est d'analyser l'intérieur, par exemple téléchargement en HTTPS d'un fichier de type virus, alors le déchiffrage est nécessaire ( … mais le poste client a forcément un antivirus !).
De plus, si la majorité des sites passant en HTTPS, inéluctablement HSTS va aussi s'accroitre et il met en échec SSL Bump ...
Je ne crois pas que pfSense + les packages Squid/SquidGuard fassent aussi analyse antivirus, donc cette solution ne fait que blacklister, d'où l'inutilité de SSL Bump ! (C'est mon analyse)
NB : pour un site en blacklist, si le site est en HTTP, la page renvoyée sera celle définie par le 'redirect' de SquidGuard, et si le site est en HTTPS, la page renvoyée est blanche et il n'est pas possible de faire mieux.
Donc, dans votre cas
un certificat valide pour un site web en DMZ est intéressant pour les users depuis Internet,
un certificat valide pour administrer pfSense n'a d'intérêt que pour un ... administrateur (forcément interne),
un proxy avec cassage HTTPS pour les utilisateurs internes va (forcément) changer le certificat (=remplacement de TOUS les certificats de TOUS les sites !)
Donc l'utilisateur interne ne verra pas le même certificat que l'utilisateur sur Internet , alors que vous faites l'effort de fournir un certificat valide !
Vous constatez, comme moi, que c'est illogique.
A titre perso, je ne peux que vous encouragez à fournir un site web
avec un certificat valide (vous l'avez fait)
et avec HSTS actif (reste à faire)