Non è necessario ottenere un certificato falsificato per g00gle.com. La persona dietro il sito di phishing deve solo ottenere un certificato regolare per quel dominio. Naturalmente, la richiesta di un tale certificato potrebbe fallire in quanto un computer o un essere umano potrebbe essere attivato dalla probabilità di google.com. Altrimenti, qualsiasi proprietario di un dominio può creare una coppia di chiavi e inviare una richiesta di certificato a qualsiasi CA commerciale. Nota che la registrazione ha il brutto effetto collaterale di farti conoscere dalla CA.
Non è possibile utilizzare il certificato google.com originale. Il certificato contiene le informazioni sul proprietario del sito / sito, sulla CA di emissione e sulla chiave pubblica. Avresti bisogno anche della chiave privata per utilizzare il certificato di google.com.
Il problema con i certificati rilasciati a partiti canaglia si verifica durante attacchi man-in-the-middle in cui la comunicazione può essere instradata su un altro computer. In tal caso, l'attaccante può scegliere di intercettare, leggere e modificare il traffico ad es. google.com. L'autore dell'attacco può anche impersonare il server o qualsiasi cosa nel mezzo.
Nel caso di google.com è stato coinvolto il governo iraniano. Poiché controlla (la maggior parte) l'infrastruttura di internet dell'Iran, l'instradamento verso un altro computer è facile. Più vicino a casa (per la maggior parte di noi), gli attaccanti possono anche impostare punti di accesso WiFi rogue e utilizzarli per indirizzare il traffico.
Nota che il semplice DNS non contiene misure di sicurezza, quindi chiunque controlli la rete controlla anche il modo in cui gli indirizzi IP sono mappati ai nomi e viceversa.