El problema aquí es que, al instalar un certificado raíz, le está diciendo a su dispositivo que quien posea la clave privada del certificado, y que sea capaz de emitir más certificados, es digno de confianza en cuestiones de si algún servicio cifrado con SSL es auténtico. Si está seguro de tener la única copia de la clave privada, la presencia de dicho certificado no le otorga a otras personas ningún acceso adicional de inmediato. (Sin embargo, robarle la clave privada puede ser más barato para un adversario suficientemente determinado que robarle una de una agencia de certificación profesional). Sin embargo, si está instalando un certificado raíz que proviene de otra persona, como un empleador, dándoles la posibilidad de emitir certificados falsos que su dispositivo considerará verdaderos, y de ahí proviene el riesgo de MitM y el monitoreo relacionado.
Tenga en cuenta que los certificados se aplican a todos los servicios cifrados con SSL, no solo a los sitios web. En particular, me gustaría señalar que hoy en día SSL se usa ampliamente para el correo electrónico, incluido el acceso IMAPS / POPS a los buzones de correo remotos.