Déjame explicarte a través de un ejemplo práctico.
Hay un conjunto de Autoridades de Certificación (CA) en las que los navegadores confían implícitamente. Puede ver la lista de CA confiables en su navegador. Por ejemplo. Las CA confiables para el navegador Chrome se pueden encontrar en "Menú de Herramientas > Preferencias > Debajo de la Capucha > HTTPS / SSL (Administrar Certificados) > pestaña Autoridades".
Por lo tanto, el certificado que mail.google.com presenta en su navegador está 'firmado' por Thawte SGC CA. Esta CA es de confianza implícita por el navegador. Estas CA emitirán certificados solo después de una verificación completa (y manual).
Tú y yo no podemos engañar a Thawte o Verisign para que nos firmen un certificado falso para Google. Aunque estos casos ocurren pero son raros y en su mayoría requieren ayuda de un inider.
Ahora, en su propia máquina, puede seguir adelante y crear certificados indicando que son de Google. com. Sin embargo, estos certificados son "autofirmados" y el navegador no confiará en ellos porque la CA (usted) no se encuentra en su lista de certificados de confianza. En este caso, el navegador le mostrará la advertencia del certificado.
Por lo tanto, ahora para responder a su pregunta, hay un par de formas en que se crean (o se ponen a trabajar) los certificados falsificados:
-
Tal como lo mencioné anteriormente, una persona puede engañar a una CA (en la que confía el navegador) para emitirle un certificado para un sitio que no le pertenece. Por esta razón, las personas a menudo eliminan manualmente las CA confiables de su lista. Dios sabe qué procedimientos hace ese AC en ese país nunca escuchado. He visto personas paranoicas eliminando CA de la lista de confianza de los navegadores.
-
La CA es hackeada (o está hecha para emitir certificados falsos). En tal caso puede emitir certificados en tu voluntad. Por no mencionar, estas CA se cierran inmediatamente una vez que se encuentra esto.
-
También puede tener un certificado falso "autofirmado" de google.com y aún así puede omitir la comprobación de seguridad del navegador si agrega explícitamente su propia CA a la lista de confianza del navegador. Las empresas pueden hacerlo. He visto (y trabajado en) compañías donde lo hacen abiertamente por "razones de cumplimiento". Ya que sus máquinas de escritorio están bajo su control, instalan su propia CA en la tienda de confianza de su navegador y presentan un certificado de gmail falso en el navegador, en el cual el navegador confía y con gusto intercepta TODAS sus conversaciones / correos electrónicos.
En todos los casos, ¿qué obtiene al falsificar un certificado? Puede MITM (Man in the middle) el servidor y la computadora de los usuarios y descifrar la sesión SSL.
He dejado muchos matices más finos de la creación de certificados en mi descripción anterior para presentar una imagen amplia. Puede leer sobre Cert Patrol y perspectivas para ver cómo puede evitar ser víctima de un certificado falso, incluso si su CA está en la lista de confianza de los navegadores.
También puede leer sobre fijación de certificados que puede ayudar a evitar este tipo de secuestros de certificados.