Con la mia comprensione, per quanto ammessa, limitata di come funziona HTTPS / TLS, l'utente finale (me) avvia una connessione con un server remoto che firma ciascuno dei suoi messaggi con una chiave pubblica. Questa chiave pubblica può essere verificata (magicamente) controllando il certificato, che è firmato da una CA che garantisce l'integrità di tale certificato.
Il risultato è che se mi fido di una CA, quella CA può firmare qualsiasi certificato e dire che è valida e che la mia macchina andrà benissimo con essa; se una CA anomala viene aggiunta al registro fidato del mio computer, allora chiunque sappia che CA canaglia sarà in grado di ottenere il loro certificato firmato e posare come - potenzialmente - qualsiasi sito Web ed eseguire un uomo nell'attacco centrale.
La mia azienda ha appena aggiunto il proprio proprio certificato come CA radice ai tutti computer nella rete. Devo quindi supporre che tutto il traffico che invio sia compromesso?