Ho esaminato il modello di certificato del certificato SSL e c'è qualcosa che non ha senso. Se sono corretto, il modello di trust rende che se esiste una catena di certificati con un certificato radice attendibile nella parte superiore della catena, tutti i certificati di questa catena saranno considerati attendibili. Questo non ha senso perché potrei creare un certificato valido per google.com con la mia coppia di chiavi. Lo farei prendendo la catena di certificati di google.com, diciamo Verisign, quindi google.com. Vorrei lasciare il certificato di root così com'è, ma modificare la coppia di chiavi nel certificato di google.com. Questa catena di certificati sarebbe affidabile poiché il certificato di origine è attendibile, pertanto tutti gli altri certificati sono attendibili. Questo ti permetterebbe di creare un uomo nell'attacco centrale.