Il modo in cui i certificati funzionano è che un certificato viene inviato dal sito web al tuo computer. Il tuo browser legge il certificato, cercando l'identità del "certificato di firma". Quindi convalida la firma del certificato scaricato creato dal certificato di firma. Se il certificato di firma è firmato da solo, viene chiamato certificato radice attendibile. Ma non funzionerà alcun vecchio certificato di root di fiducia. Il browser si fida solo dei certificati che è stato configurato per accettare al momento dell'installazione del browser. Questi certificati particolarmente affidabili costituiscono il tuo archivio certificati radice di fiducia e possono essere basati su sistema operativo (Windows ha un archivio certificati utilizzato da Edge, browser IE e Chrome) o basati su browser (Firefox viene fornito con un elenco preinstallato di autorità radice attendibili .)
L'utente malintenzionato dovrebbe prima iniettare un certificato radice attendibile nell'archivio dei certificati radice attendibili del sistema operativo o nell'elenco delle autorità attendibili del browser.
Le autorità attendibili non vengono controllate dinamicamente dal Web durante la navigazione. Il proxy non gestirà mai i certificati attendibili se non come parte del pacchetto di installazione; e se il pacchetto di installazione è stato modificato dal proxy, la firma del pacchetto fallirebbe e il sistema operativo dovrebbe darti un avvertimento "pacchetto non firmato" quando lo stai installando.