Hallo,

Ein HTTPS-Proxy, der den Inhalt der Webseite ändern soll, ist der klassische Man-in-the-middle-Angriff, den man nicht so gerne haben will.

kommt drauf an, wer "man" in diesem Moment ist.

Dein Proxy muss also anstelle des Browsers die HTTPS-Verbindung herstellen, muss dabei die Gültigkeit des Zertifikats sicherstellen, lädt sich dann die Seite herunter, ändert irgendwas, und muss am Ende diese Inhalte wiederum über HTTPS an den Browser schicken

Oder über normales, unverschlüsseltes HTTP. Das wäre für dieses Szenario eigentlich sinnvoller.

Der Browser vertraut diesem Zertifikat nur eben nicht, und warnt den User. Dass das Gestatten von Ausnahmen für nicht korrekt unterschriebene Zertifikate bei HSTS-Seiten abgeschaltet ist, scheint mir nur konsequent.

Mir nicht. Der Wunsch des Nutzers nach einfacher, transparenter Kommunikation sollte IMO schwerer wiegen als die Forderung des Anbieters nach End-To-End-Verschlüsselung.

So long,
 Martin