>Идеально сделанный MITM невозможно заметить на стороне сервера без клиентского сертификата

Да, если он стрррашно интелектуальный. Но! Если джава может вытащить - под каким сертификатом он соединился, то обнаружть вполне можно. Джаву только не знаю.

> обмен ключами - такие-то. А MITM Box-ы, обычно старые железки с

Появилась инормация поподробнее... это обычная машина с ситемой, постоенной на фре 9.х
Стоит система каких-то безумных денег.

> Но чтобы замутить такое вам потребуется скритующийся веб-сервер.

_СКРИТПУЮЩИЙСЯ_?

Даже не знаю, настраивал только nginx и индейца. Почитать, что там за возможности в модулях..

ммм... на месте разрабов я бы просто сделал список из 10-ка подходящих браузеров и кейс в выбором наиболее близкого. Ну и ежемесячную подкачку с "базы" актуального списка..

но "ловить на косвенных" - интересная идея. Надо поискать, что там джава может вытащить о свойствах соединения из браузера..