Es como dice Yurguis, los certificados son emitidos para un dominio especifico,
si usted acepta un certificado incorrecto para facebook.com, ese no servira
para www.google.com, por ejemplo.
No importa si hay un proxy en medio, la unica forma de que este pueda hacer Man
In The Middle es falseando el certificado para cada sitio, lo cual saltara las
alarmas cada vez que entre a un sitio diferente.
Solo un detalle Yurguis, en su ejemplo la excepcion es añadida para
facebook.com, no para xyz.cu, pues el sitio que usted esta intentando abrir es
Facebook y el sistema etecsiano necesita intervenir esa conexion para enviarle
las cabeceras 302 y redireccionarlo al sitio xyz.cu, el cual por cierto si
tiene un certificado valido.
Tal vez la confusion que estoy viendo aqui es con los distintos tipos de
certificados (y lo que pongo a continuacion tal vez es complicado de entender
para el que sea nuevo en estos temas), pues existen tambien certificados de
entidad certificadora (CA), que son los que validan si un certificado regular
de un sitio es autentico.
Por ejemplo el proxy en cuestion puede genera un Certificado de Raiz (CA),
supoga que se llame ETECSA TRUSTED CA. Con la llave privada de ese CA, puede
firmar cualquier certificado generado por el mismo para cualquier sitio. El
navegador tiene una base de datos de CA de confianza, por ejemplo VeriSign,
DigiCert, Google Trusted, etc. Por tanto como ETECSA TRUSTED CA no esta
incluido en esa base de datos, igual saltara la alarma cada vez que acceda a un
sitio diferente.
Pero si el usuario instala el ETECSA TRUSTED CA en su maquina (navegador),
entonces los certificados firmados por este si son vistos como autenticos, pues
usted le esta diciendo a su maquina que confie en ETECSA TRUSTED CA. Y a partir
de ahi es barra abierta.
Eso es lo que hacen por ejemplo en redes corporativas donde los admins pueden
instalar certificados generados por la empresa en las maquinas del centro, para
poder hacer ssl interception. Tambien es usado en software de debuging web,
como Fiddler.
Cuando usted acepta una excepcion en el navegador no esta instalando ETECSA
TRUSTED CA como una entidad de confianza, solo hace una excepcion para el sitio
especifico que esta intentando abrir.
NOTA: ETECSA TRUSTED CA es un nombre ficticio para entender mejor la
explicacion.