Nella nostra azienda disponiamo di un certificato CA interno per la firma di vari elementi, tra cui le connessioni HTTPS con proxy (MITM).
Supponiamo che usiamo questa CA per firmare una chiave per "localhost" da usare nei test automatici (quindi non dobbiamo scherzare con i profili personalizzati di Firefox). Questa chiave verrebbe distribuita agli sviluppatori, probabilmente controllandola nel repository di origine.
Quali sono i pericoli di questo approccio? Supponiamo che un utente malintenzionato abbia rubato la chiave e possa quindi firmare HTTPS localhost. Cosa potrebbero fare?