1. Hasta ahora no es posible (ok tal vez la NSA tiene alguna forma secreta)
leer trafico SSL sin cambiar los certificados. Y de eso el usuario se daria
cuenta, pues los navegadores te lo dicen, tal y como dice YLG. Sencillamente no
hay manera. Por eso China bloqueo la Wikipedia completa cuando esta comenzo a
forzar el uso de HTTPS. Esas herramientas que dice Jorge Norris existen, pero
todas falsean el certificado y por tanto el usuario se da cuenta. La unica
forma de que el usuario no se de cuenta seria instalarle en su PC un
certificado de una entidad certificadora falsa. Para los que no tienen
conocimientos tecnicos, si te conectas por un proxy desde tu centro de trabajo
en una PC que no es tuya, donde el admin tiene acceso a instalar un certificado
de entidad certificadora, si te puede espiar. Ahora si te conectas con tu
propia Laptop por ejemplo, no podra hacerlo, pues el admin no controla lo que
tu instalas. Tambien existen WiFi en centros de trabajo y escuelas que te
obligan a instalarte un certificado para poderte conectar. PELIGRO !!!! Si lo
haces tambien te van a espiar.
RECOMENDACION: NUNCA INSTALES UN CERTIFICADO EN TU MAQUINA, al menos que sepas
lo que estas haciendo.
2. J Norris, MD5 fue "deprecated" hace ya bastante tiempo, ahora se recomienda
usar SHA1 y SHA2