È necessaria la chiave privata di un certificato CA se si desidera firmare un altro certificato. Questo è il caso con i proxy di intercettazione SSL come forniscono vari prodotti antivirus e anche il famigerato Superfish software di iniezione pubblicitaria.
Il problema principale è se la chiave privata è facilmente recuperabile da un utente malintenzionato in modo che possa essere utilizzata (insieme al certificato) all'interno di un uomo nell'attacco centrale. Questo è in genere il caso se lo stesso certificato e la stessa chiave vengono utilizzati su più installazioni dello stesso software, come fatto da Superfish. Intercettazione SSL I prodotti antivirus invece creano un certificato e una chiave univoci per ogni installazione e quindi non sono influenzati dal problema.
È necessaria anche la chiave privata se il certificato deve essere utilizzato per l'autenticazione del client, ad esempio se il computer deve identificarsi in modo sicuro all'interno delle connessioni TLS / HTTPS. Ma in questo caso di solito hai solo un certificato foglia che non può essere utilizzato per emettere nuovi certificati. Contrariamente a ciò, i certificati utilizzati nel certificato Superfish e eDellRoot sono certificati CA, cioè possono essere utilizzati per emettere nuovi certificati e quindi possono essere utilizzati per gli attacchi man in the middle.