Si un tipo malo controla una CA en la que su computadora confía (por ejemplo, porque se instaló como una CA raíz en su máquina), entonces ese atacante no necesita confiar en nada tan crudo como un nombre tipográficamente similar; puede hacer un certificado falso que dice "gmail.com" en todos sus detalles, y reclamar estar certificado por VeriSign, la Administración de Alimentos y Drogas y el Papa. Se dice que los certificados raíz son "raíz" porque realmente están en la raíz de su confianza.
Usted podría intentar obtener una validación externa; por ejemplo, puede intentar llamar a la sede de Google, pedir hablar con un administrador de sistemas y ver si puede explicarle, por teléfono, la "huella digital" del certificado. Entonces podrías compararlo con lo que ves a tu lado; Esto detectaría juego sucio. Sin embargo, esto supone que el teléfono es "intrínsecamente seguro" (una aseveración bastante dudosa en el mejor de los casos), y también que encontrará en Google un administrador de sistemas con suficiente tiempo libre y humor para responder a esa solicitud. p>
Un problema más fundamental es que si algún atacante podría plantar una CA deshonesta en su computadora, entonces hay pocas razones para creer que se detuvo allí. La manipulación de la tienda de confianza requiere derechos administrativos; el mismo atacante podría haber instalado un registrador de claves u otro tipo de malware. Incluso podría hacerlo luego porque las actualizaciones de software normales están firmadas: con su CA deshonesta, el atacante podría firmar falsamente algunas actualizaciones falsas llenas de código desagradable.
Por lo tanto, la sabiduría habitual es que si sospecha que su CA raíz ha sido manipulada, entonces realmente no puede salvar su máquina, excepto con un formato completo y reinstalación del sistema operativo (y, aun así, esto limpia la máquina solo si no se ha instalado ningún virus en las partes que se pueden flashear (como el BIOS y el firmware de algunos periféricos).