Ciò che probabilmente qualcuno voleva dire era:
There are a lot of certificate authorities out there, which's keys can be used to generate valid certificates.
Anche se è vero, le CA di fiducia non saranno considerate attendibili abbastanza a lungo quando distribuiscono i certificati da utilizzare per gli attacchi MITM (o, peraltro, non rispettano le altre regole riguardanti l'emissione di certificati).
Penso che ci sia stata una CA che ha firmato una sub-CA circa un anno fa che ha perso la sua credibilità piuttosto rapidamente.
Inoltre, le CA possono generare certificati validi per le chiavi (di loro scelta, in teoria), ma per le chiavi non valide per un certificato esistente; ciò è considerato non fattibile per i certificati con proprietà accettabili per cominciare.
L'intero concetto di catena di fiducia funziona solo se riponi fiducia nelle CA, se non lo fai, puoi chiamare quelle "chiavi principali", ma è una semplificazione enorme e non del tutto corretta - non possono sbloccare nulla ", solo "essere utilizzato per firmare certificati validi per un attacco MITM.
Per ulteriore foglio di alluminio:
Se "loro" hanno in qualche modo ottenuto chiavi da CA affidabili, "loro" possono in effetti fare alcuni MITM. Tuttavia, esistono alcune strategie di mitigazione, ad esempio blocco della chiave pubblica , il che rende più difficile per gli utenti regolari di un sito Web .