Ha van egy tetszőleges https://... site, a kliens meg megbízik az általam üzemeltetett CA certjében, akkor a forgalmat átfuttatva egy ssl-t átcsomagoló proxy-n, ami a kliens felé az általam üzemeltetett CA-val aláírt certet mutat be (aminek a kibocsátóját ugye megbízhatónak tekinti a kliens, ergo a lakat "zöld" lesz), az átcsomagolás során bizony bele lehet nézni/nyúlni a forgalomba.