有人可能想说的是：

那里有很多证书颁发机构，它们的密钥可用于生成有效证书。

虽然这是真的，但受信任的 CA 在分发用于 MITM 攻击的证书时不会被信任很长时间（或者，就此而言，不遵守有关证书颁发的其他规则）。

我认为大约一年前有一家 CA 签署了一份子 CA，但很快就失去了可信度。

此外，CA 可以为密钥（理论上是他们选择的）生成有效证书，但不能为现有证书生成有效密钥；对于具有可接受属性的证书来说，这被认为是不可行的。

整个信任链概念只有在您信任 CA 的情况下才有效，如果您不信任，您可能会称这些为“主密钥”，但这是一个巨大的简化并且不太正确 - 它们无法解锁任何东西，“只是”被使用为 MITM 攻击签署有效证书。

如需额外的锡箔纸：

如果“他们”以某种方式从受信任的 CA 那里获得了密钥，那么“他们”实际上可以做一些 MITM。然而，有一些缓解策略，例如公钥固定，这使得网站的普通用户更难做到这一点。