En nuestra empresa tenemos un certificado interno de CA para firmar varias cosas, incluidas las conexiones HTTPS con proxy (MITM'd).
Supongamos que usamos esta CA para firmar una clave para "localhost" para usarla en pruebas automatizadas (por lo que no tenemos que meternos con los perfiles personalizados de Firefox). Esta clave se distribuiría a los desarrolladores, probablemente ingresándola en el repositorio de origen.
¿Cuáles son los peligros de este enfoque? Supongamos que un atacante robó la clave y luego podría firmar HTTPS localhost. ¿Qué podrían hacer?