Kezdem sejteni, hol beszélünk el egymás mellett :)
Az eredeti állítás ez volt:
> Ott a CA házon belül van, az SSL kapcsolatokat fel tudod bontani.
Te erre írtad, hogy:
> A CA nem ismeri a privát kulcsokat, így közömbös, hogy hol van a CA.
Ezért azt gondoltam, hogy nem érted, hogy mire jó egy a te kezedben levő CA, amiben a kliensek megbíznak, ha bontani szeretnéd az SSLt, erre reagáltam. Meg sem fordult a fejemben, hogy arról van szó, hogy egyáltalán nem bontjuk. Még a
> Miért számít/előnyös a belső CA, ha csak monitorozza a hálózatot és aktívan nem avatkozik be?-t
is úgy értettem, hogy bontással monitorozunk (szóval ugyan kibontjuk, megnézzük, és újracsomagoljuk, de nem nyúlunk bele)
Természetesen, ha egyáltalán nem bontasz, csak egy tcpdumpod van, akkor teljesen mindegy, mi volt a CA. Igaz, akkor nagyjából az is, hogy mi volt a konkrét certificate, mert ahogy willy irta, akkor meg a -- ma már azért jellemzően elérhető -- PFS (perfect forward secrecy) képes kulcscsere algoritmusok* miatt hiába van meg a privát kulcsod, nem tudod visszafejteni.
* DH-* és ECDH-* azt hiszem, ami megy, tls1.3ban már ha jól rémlik csak ECDH van, de ebben nem vagyok biztos.