Los certificados se pueden invalidar después del hecho mediante la revocación del certificado. Pero tenga en cuenta que esto simplemente le dice al navegador (si el navegador realmente lo solicita) que el certificado ya no se considera seguro.
En lo que respecta a la emisión de certificados no válidos, si bien en teoría es posible, debe tener en cuenta que lo primero que hace un administrador después de instalar un certificado es probarlo, si no es válido, no lo usaría.
Además, tenga en cuenta que la seguridad de la comunicación no es una función del certificado. El certificado solo certifica que el propietario del dominio está en posesión de la clave privada correspondiente asociada con la clave pública. incrustado en el certificado. En ningún momento la CA ve la clave privada o cualquier otra información que no sea pública.
Todos los detalles relacionados con la seguridad de la comunicación entre el navegador y el servidor se negocian en el lugar entre el navegador y el servidor.
El CA puede emitir certificados adicionales que afirman corresponder a su dominio para el cual la clave privada pertenece al Gobierno en lugar de a usted. Y en ese caso, se puede usar para un ataque de hombre en el medio. Pero el gobierno no necesita la cooperación de su CA, pueden acudir a cualquier CA en la que el navegador confíe para obtener su certificado falso.
Algunas corporaciones instalan su propio certificado de CA en las computadoras de la empresa para que puedan realizar ataques de intermediarios en todo el tráfico SSL saliente con el fin de inspeccionar el contenido. Si las computadoras confían en su certificado de CA de forma predeterminada, entonces puede hacerlo de forma global.