Weil ein Zertifikat für den Netzwerkdienst "A" erwartet aber ein Zertifikat für "B" geliefert wird.
Das stimmt nur bedingt. Bei den meisten Seiten ist eine SSL-inspection möglich. Da wird das originale Zertifikat dann durch das firmeneigene ausgetauscht.
Allerdings gibt es auch bestimmte Seiten, bei denen geprüft wird, ob das Zertifikat am Client noch dasselbe ist, was der Server losgeschickt hat. Das trifft besonders auf die Internetportale der Bankenseiten zu, z.B. die DKB-Seite. Dafür müssen dann in der Firewall Ausnahmen konfiguriert werden. (s. Breitrag vom drfuture).
Normales VPN wird in den meisten Fällen wohl auch nicht gehen, da eine Firmenfirewall sämtliche Ports sperrt bis auf 80 und 443, über die man den Proxy erreicht. Bei uns auf Arbeit kann man noch nicht mal seine privaten E-Mails per Programm abrufen, da die gängigen E-Mail-Ports (995, 993, 587, 465, 110, 143) auch mit unter die Sperre fallen.
Dazu kommt noch, dass der Proxy meist eine Authentifizierung erfordert, was im Normalfall über die Active Directory abgehandelt wird. Entsprechend stehen im Squid-Log dann auch die Nutzerkürzel vor jedem Request. Für das Blacklisting verwenden wir
UfdbGuard. Da gibt es diverse Kategorien (Spiele, XXX, Warez), die gleich haufweise Seiten sperren.
Für die erlaubten Browser gibt's eine Whitelist. Wenn die Firma äußerst böse ist, erlaubt sie nur den Internet Explorer, da sich der ja über die Windows-Gruppenrichtlinien beschränken lässt. Für alternative Browser musst du dann einen Useragent-Faker verwenden.
Könntest mal den "Ice Dragon" Browser von Comodo probieren. Der verwendet die DNS-Server von Comodo anstelle der von deiner Firma. Ist im Grunde ein modifizierter Firefox, mit dem "HTTPS Everywhere" AddOn könnte das zuverlässig klappen.
Siehe oben. Im Normalfall nützt Dir das wenig, da eine restriktiv konfigurierte Firmenfirewall auch Port 53 nach außen sperrt. Deine DNS-Abfragen werden entsprechend von einem internen DNS-Server beantwortet. Dazu kann noch die Browser-Whitelist kommen (siehe 2 Zeilen darüber).
Welche Möglichkeiten gibt's dann?
Sofern du Linux nutzen kannst:
https://github.com/jpillora/chisel (nicht getestet).
Im Normalfall wirst du aber einen Windowsrechner ohne Adminrechte haben. Und das
Subsystem für Linux wird da wohl auch nicht freigeschaltet sein. Alternativ könntest du
Cygwin probieren.
Alternativ OpenVPN over HTTP:
https://serverfault.com/questions/163768/vpn-through-only-http
Dazu steht aber ganz unten:
OpenVPN over HTTP requires CONNECT support which is often not implemented or simply blocked.
Aber wie meine Vorredner ebenfalls schon richtig bemerkten, solltest du Dir des Risikos bewusst sein. Das Durchbohren der Firewall ist mit Sicherheit ein Grund für eine Abmahnung. Überleg Dir, ob es Dir das wert ist.
Was hindert Dich daran, Dein privates Handy zum Surfen zu nutzen?