A meno che l'autore dell'attacco non sia in grado di installare una nuova autorità di certificazione (CA) sul sistema degli utenti, non può fare in modo che il client visiti il sito originale da https tramite il proxy dell'attaccante senza che il client riceva gli avvisi del certificato. E l'installazione di una CA direttamente dall'interno del browser senza alcuna interazione esplicita da parte dell'utente non è possibile.
L'autore dell'attacco può però modificare l'URL di destinazione all'interno di un attacco di stripping SSL non solo da https://
a http://
come il normale sslstrip
programma ma potrebbe mantenere https://
e invece modificare il sito che viene visitato. Ad esempio, se l'autore dell'attacco possiede example.org
, potrebbe modificare l'accesso da https://example.com
a https://example.org
e rispecchiare il sito originale sul suo sito degli utenti malintenzionati. Molti utenti probabilmente non noterebbero tali cambiamenti e riempirebbero felicemente le credenziali e simili.