Los certificados están firmados y se verifica la firma criptográfica; si la firma coincide, el contenido del certificado es exactamente el mismo que cuando se firmó el certificado. Esto, por supuesto, no resuelve el problema, simplemente lo mueve. La estructura completa se denomina PKI . Los certificados que están preinstalados en su computadora (incluidos con el sistema operativo o el navegador) son los certificados de CA raíz , es decir, las claves públicas que conoce "a priori" y desde las cuales comienza toda la verificación de firmas proceso.
Para abreviar la historia, si alguna entidad hostil pudiera insertar una CA raíz maliciosa en su computadora, pierde. Por supuesto, bajo las mismas condiciones, el mismo atacante hostil (por ejemplo, un virus) podría alterar el código del navegador y secuestrar sus datos, o registrar todas sus pulsaciones de teclas, o más generalmente, engañarle por completo en un millón de maneras. Cuando se ejecuta un virus en su computadora, ya está más allá de la redención.
Insertar una raíz falsa es, de hecho, una forma bastante mala de atacar a las personas, ya que pueden notarlo. Inyectar un detector de datos directamente dentro de las entrañas del navegador no requiere mucho esfuerzo adicional, se puede hacer en las mismas condiciones y resulta en una destrucción mucho más completa y de su seguridad.