En un MITM-Attack puedo intercambiar el certificado del servidor por uno que creé por mi cuenta con herramientas como MITMProxy o SSLSplit . Pero esto solo funciona bien cuando instalé un faltado CA Cerrtificate en el navegador de las víctimas, de lo contrario se identifica como un certificado falso.
¿Sería posible crear certificados falsos que parecen ser emitidos por la CA original y luego falsificar la Respuesta de OCSP para que el certificado parezca válido?
OCSP es una forma para que CA invalide certificados específicos. Un navegador también verificará la firma del certificado suministrado con el certificado raíz de la CA (posiblemente en unos pocos pasos, la cadena de certificación), esto se realiza de forma completamente local.
En resumen, no es posible hacer que un certificado falso parezca válido sin reemplazar el certificado raíz de la AC en el navegador de los usuarios. (Solo un certificado en la cadena no debería ser suficiente.)
AFAIK, no debería ser posible crear un certificado que "parece ser emitido por la CA original" de tal manera que incluso se produzca una solicitud OCSP. En el punto donde se realiza la verificación (si es que ocurre, después de todo, por ejemplo, se considera prácticamente interrumpida en la web porque los servidores no son confiables en el manejo de las solicitudes) el certificado ya debe tener una cadena de certificados válida, una con una CA en su almacén de claves (por cierto, no necesariamente gestionado por su navegador) en la parte superior.
Lea otras preguntas en las etiquetas certificates man-in-the-middle certificate-authority ocsp