无需访问 CA 的私钥即可获得颁发的证书。CA 也可能无权访问私钥，尤其是如果它是在智能卡或 HSM 本身内部创建的。

相反，CA 会颁发欺诈性证书，因为

• 攻击者使 CA 相信他是域的所有者：
  这可以通过 DV 证书中域所有权的自动验证来实现。此验证通常通过使用特殊电子邮件帐户、Web 服务器的特殊路径或所有者域中的 DNS 记录来实施一些质询-响应方法来完成。因此，如果攻击者可以访问域中的特定邮件帐户（例如live.fi 的情况），则可能会妥协。也可以通过让 CA 相信域的不同联系电子邮件来完成，例如在Comodo OCR 问题的情况下。如果攻击者设法破坏原始站点以攻击网络服务器路径验证或攻击站点 DNS 以攻击 DNS 记录验证，也可以欺骗 DV 验证。
• 第三方违反了 CA 颁发的子 CA 的使用限制：
  例如在法国子 CA 的情况下，该子 CA 用于 SSL 拦截并为 google.com 颁发证书（以及其他证书）。
• CA 过程中的错误：
  例如TURKTRUST意外颁发了子 CA 证书而不是普通证书，然后可用于为任意域颁发新证书。
• CA 本身的妥协：
  这发生在DigiNotar的情况下，攻击者设法深入访问 CA 的基础设施。关于这次攻击的最终报告 (PDF)指出，看起来 DigiNotar 的智能卡中的私钥在自动交易中处于活动状态，即并非每个智能卡交易都必须得到明确授权。这可能允许攻击者在没有物理访问系统和没有私钥的情况下签署自己的证书。