Igen, ahogyan fentebb is írtam, kiegészítés. Egy jól összerakott UTM több mechanizmussal dolgozik. Kezdi a legkisebb erőforrás-igényessel, pl. IP és URL blacklist-tel. Mert ha már ezen fennakad, akkor "olcsón" blokkoltunk egy potenciálisan veszélyes kapcsolatot. Ha itt nem akad fenn, akkor mehet tovább, az erőforrás-igényesebb ellenőrzésekhez.
Egyébként a cert-es dolog sem annyira bonyolult. Kell egy CA, azt berakod a root-ba a klienseken egyszer. Kell egy subCA cert, az megy a proxy-ra, és onnantól már a proxy teszi is a dolgát. Sőt, ha már amúgy is van CA-d, akkor kaphatnak a kliensek certeket, és akkor a VPN is biztonságosabb. Több melód lesz azzal, hogy kivételekre vedd fel azokat az oldalakat, amelyek a megtört kapcsolaton nem működnek. Természetesen eszem ágában sincs ilyet csinálni otthon :)