La forma en que funcionan los certificados es que el sitio web envía un certificado a su computadora. Su navegador lee el certificado, buscando la identidad del "certificado de firma". A continuación, valida la firma del certificado descargado que fue creado por el certificado de firma. Si el certificado de firma está firmado por sí mismo, se denomina certificado raíz de confianza. Pero no cualquier antiguo certificado raíz de confianza servirá. El navegador solo confiará en los certificados que estaba configurado para aceptar cuando instaló el navegador. Estos certificados especialmente confiables conforman su almacén de certificados raíz de confianza, y pueden estar basados en el sistema operativo (Windows tiene un almacén de certificados utilizado por los navegadores Edge, IE y Chrome), o por navegador (Firefox viene con su propia lista preinstalada de autoridades de raíz confiables .)
El atacante tendría que inyectar primero un certificado raíz de confianza en el almacén de certificados raíz de confianza de su sistema operativo o la lista de autoridades de confianza de su navegador.
Las autoridades de confianza no se buscan dinámicamente desde la web mientras se navega. El proxy nunca manejaría los certificados de confianza, excepto como parte del paquete de instalación; y si el paquete de instalación fue modificado por el proxy, la firma del paquete fallaría y el sistema operativo debería mostrarte una advertencia de "paquete sin firmar" cuando lo instales.