在这种环境下，人们如何能够安全地浏览？

你真的不能。如果有官方的 MITM 代理并且它不是您的网络，请不要做任何您不希望网络管理员看到的事情。使用您自己的个人连接连接到具有个人帐户的站点。

在所有证书都由代理签名的情况下，我如何验证该网站没有另外被其他第三方欺骗？

我认为可以公平地假设代理本身在连接到实际网站时会根据配置的 CA 列表（可能是它运行的操作系统）检查证书的有效性。

我担心可能会在某个时候将 Firefox 也配置为忽略这些欺骗性证书。如何防止我的浏览器（Firefox 等）接受这些证书？

趋势一直是提高对 Firefox 中无效证书的认识。

在 Firefox 中，您可以通过进入选项 -> 高级 -> 加密 -> 查看证书 -> 授权来禁用某些 CA。然后，使用“编辑信任”（或删除 CA 证书）。您可能会发现该机构内安装了 CA 证书。您还可以查看“服务器”选项卡中的例外情况（如果有）。

为什么浏览器允许这个功能？完全禁用 HTTPS 似乎比允许这种错误的安全感更明智。这不是一个主要的安全问题吗 - 浏览器接受看似合法的证书，即使它们不是网站提供的证书？

你误解了谁的责任是确保信任。浏览器只是在那里使用受信任的锚点列表。虽然它们通常带有默认列表，但由机器的管理员（和/或用户）检查他们想要信任的 CA 列表。（ EV 证书有一个例外，尽管它并非没有自己的一系列问题。）

如果您对正在使用的 CA 有疑问，请单击锁定图标或蓝/绿条（取决于浏览器），您应该能够看到安全详细信息。将其与您在您信任的网络上使用您信任的机器所看到的进行比较。

如果您不信任机器上安装了哪些 CA 证书，请不要使用它。更一般地说，这归结为：不要使用你不信任的机器。

您可能对证书巡查感兴趣：

https://addons.mozilla.org/en-US/firefox/addon/certificate-patrol/

它会跟踪您以前看过哪些证书，并在它们过早更改时向您发出警告。当然，您也可以一开始就不安装公司的根证书。

在这种环境下，人们如何能够安全地浏览？

您可以创建与外部的安全连接，例如 VPN。然后，您通过此安全连接传输所有请求。问题是代理也可能理解 VPN 协议并拦截它。如果将 VPN 证书与已知良好的版本进行比较，则可以检测到 VPN 代理。如果您在 VPN 上被拦截，则必须找到代理允许通过但不拦截的另一个协议。

在所有证书都由代理签名的情况下，我如何验证该网站没有另外被其他第三方欺骗？

你不能。您依靠代理来建立连接。它可能会也可能不会安全地做到这一点，但无论哪种方式你都无法控制。

我担心可能会在某个时候将 Firefox 也配置为忽略这些欺骗性证书。如何防止我的浏览器（Firefox 等）接受这些证书？

根据我的经验，Firefox 通过保留自己的证书存储区为用户提供了更多控制权。IE/Edge 和 Chrome 都使用内置的 Windows 证书存储。当然，管理员可以更改 Firefox 商店，所以这取决于您的管理员做什么。

为什么浏览器允许这个功能？

有时您想设置一个受信任的服务器，而不需要获得公共 CA 签署的证书的所有文书工作，或者您想做开发或测试工作。在这些情况下，您需要准确控制您信任的证书和 CA。

完全禁用 HTTPS 似乎比允许这种错误的安全感更明智。这不是一个主要的安全问题吗 - 浏览器接受看似合法的证书，即使它们不是网站提供的证书？

这更多的是管理员控制您的安全性的问题，而不是浏览器问题。可以这样想：你运行的不是 Firefox，你运行的是管理员提供的浏览器程序，它可以做他们想做的事情。