Хм... А для чего давать пользователю зашифровать трафик с помощью сампального сертификата, чтобы потом думать, как же потом его расшифровать? Коль вы смогли подменить сертификат, неужели не сможете перенаправить трафик по незашифрованному протоколу? Покопайте в сторону sslstrip