O meu proxy corporativo poderia saber o conteúdo de uma solicitação https?

Absolutamente. Vários proxies de nível corporativo suportam a re-criptografia das conexões feitas pelo seu navegador usando uma autoridade de certificação corporativa. Essencialmente, a equipe de administração pode enviar um certificado para sua estação de trabalho por meio de políticas de grupo e adicioná-lo à lista de autoridades confiáveis. O proxy então tem a chave privada correspondente a esse certificado e gera um certificado para cada nome de host na hora. Em seguida, quando o navegador se conecta, o proxy usa HTTPS para se conectar ao destino, mas criptografa o túnel real para o navegador usando o certificado e a chave privada mencionados anteriormente.

Há também proxies de código aberto e livres capazes dessa interceptação (que é apenas um ataque MITM facilitado pelos administradores com acesso à lista de certificados confiáveis em cada estação de trabalho).

Editar: você pode detectar isso inspecionando quem assinou o certificado para cada site HTTPS, mas o nome pode até corresponder aos certificados existentes para que você tenha que comparar a impressão digital a uma boa conhecida de cada autoridade de certificação.

Geralmente não (veja minha edição abaixo). O HTTPS é criptografado de ponta a ponta - portanto, o próprio PC está fazendo a criptografia e a descriptografia, assim como o computador do servidor na outra extremidade. Tudo o que está no fio é criptografado, então o computador servidor proxy está apenas vendo o texto cifrado passando.

Agora, com esse keylogger que o departamento de TI instalou no seu PC ... > smile <

Mas, sério, se outra pessoa administrar a máquina que você está usando para acessar sites confidenciais, ela poderá ter software ou hardware instalado no próprio PC para monitorar você. Não sei o quanto você confia no seu empregador, mas não acesso a sites confidenciais, como serviços bancários, em computadores administrados e / ou de propriedade de terceiros.

Editar:

Gee - Eu gostaria de ter ido em frente e digitado o parágrafo que eu estava pensando em adicionar re: um proxy que faz um ataque man-in-the-middle automatizado, porque eu acho que realmente existem produtos obscuros lá isso pode fazer isso! Loucura.

Aparentemente, existem dispositivos que podem executar ataques man-in-the-middle automatizados contra SSL. Eles exigem que um certificado de CA seja instalado no computador cliente "vítima", pois o proxy, por definição, estará cunhando certificados falsos para cada site HTTPS que ele tentar interceptar a comunicação.

Aguento minha declaração acima: Não acesse sites confidenciais de empresas que você não administra / possui. No caso de um desses servidores proxy mal-intencionados "man-in-the-middle" que Luke mencionou em seu post, seu computador pessoal não teria o certificado de autoridade de certificação necessário carregado para a CA do servidor proxy, e assim você receba um aviso no seu navegador de que o site da web tinha um certificado emitido por uma CA desconhecida.

O pensamento de tal produto me dá um gosto ruim na minha boca. O único utilitário que vejo em tal dispositivo é espionar os usuários.