Az a szomorú számomra, hogy láthatóan ezt nem viccből írod, hanem komolyan.
A felépített TLS kapcsolaton soha semmi nem megy titkosítatlanul. Ez nem vita meg hit kérdése, hanem tény. A dev konzolban azt látod, ami még nem ment ki. Amikor kimegy, akkor kizárólag titkosítva megy a már felépített TLS linken. Nincs olyan, hogy titkosítatlan forgalom közlekedik a böngésző és a webszerver között a kapcsolatfelvétel, titkosítás egyeztetése, kézfogás után után. Ez nem tudom máshogy írni, minthogy ebből látszik, fogalmad nincs, hogyan működik a TLS, mi a handshake, hogyan megy végbe, és onnantól milyen módon megy - kizárólag titkosítottan - adatátvitel.
Az elég érdekes ötlet - még Tőled is -, hogy a gépem meg a hálózatom közé bedugsz egy eszközt. Valóban, így eltéríthető pofon egyszerűen a forgalom, de akkor rajta, gyere és próbáld meg bedugni azt az eszközt ténylegesen! De nem kell fáradnod, simán betörsz otthonról a Digi rendszerébe (már segítettem is, merre indulj!), kikeresed a nálam lévő végberendezést, és annak lecseréled a szoftverét egy olyanra, ami ezt tudja. Ja, hogy az nem olyan egyszerű, mint a filmeken...
Egyetlen egy olyan esetet mondj (bizonyítékkal), amikor Te így elhelyeztél eszközt (vagy feltörtél, átalakítottál), vagy más elhelyezett így eszközt nálad, és ellopta az adatod.
Az sem tiszta a rém egyszerű leírásodból, hogy pontosan mi módon jutsz Netlock által aláírt, hup.hu-ra szóló tanúsítványhoz? Pénzért, ha bemész, csak úgy nem adnak, mert nem tudod igazolni, hogy Tiéd a hup.hu. Automatikusan megint csak nem adnak, mert a világ felől a hup.hu az igazi helyre visz (az authorativ DNS-t nem írtad, hogy hozzáfértél és átírtad, és az automata CA-k onnan nézve keresik), csak az én gépemet trükközted meg, hogy mást lásson. Vagy betörsz a Netlock rendszerébe (is), és csinálsz ott magadnak ilyen certet?
Aztán miután mindez pikkpakk megvan, becsapódtam, nézem a kamu hup.hu oldalt. A jelszavamat akkor is csak a webszerverről tudod levenni, ugyanis a forgalmat nézheted, titkosított, egyedi session kulccsal, ami a TLS handshake alatt jön létre (tehát a cert privát kulcsának birtoklása sem segít). Így amit küldök, azt csak a kamu webszervereden tudod elolvasni, menet közben nem, a kütyüdön a titkosított adat jön-megy...
Részemről nem írom ezt le még egyszer máshogyan megfogalmazva, mert ha Te bármennyiszer leírod, hogy a TLS kapcsolaton titkosítatlanul megy bármi, attól még nem lesz igaz.