I certificati sono firmati e la firma crittografica è verificata; se la firma corrisponde, i contenuti del certificato sono esattamente come erano quando il certificato è stato firmato. Questo, ovviamente, non risolve il problema, si limita a spostarlo. La struttura completa è chiamata PKI . I certificati preinstallati nel tuo computer (forniti con il sistema operativo o il browser) sono i certificati CA radice , cioè le chiavi pubbliche che conosci "a priori" e da cui inizi tutte le verifiche della firma processo.
Per rendere la storia breve, se qualche entità ostile potrebbe inserire una CA radice canaglia nel tuo computer, allora perdi. Naturalmente, nelle stesse condizioni, lo stesso attaccante ostile (ad esempio un virus) potrebbe alterare il codice del browser e dirottare i dati da esso, o registrare tutti i tuoi colpi di chiave o, più in generale, completamente oscurarti in mille modi. Quando un virus viene eseguito sul tuo computer, sei già al di là della redenzione.
Inserire una CA radice fasulla è, in effetti, un modo piuttosto scadente per attaccare le persone, perché potrebbero notarlo. L'iniezione di uno spioncino di dati all'interno delle interiora del browser non richiede molto sforzo aggiuntivo, può essere eseguito nelle stesse condizioni e si traduce in una distruzione della tua sicurezza e molto più completa.