Estou fazendo algumas viagens agora, então tenho lido muito sobre navegação segura em redes públicas desprotegidas. No meu entender, se você estiver usando HTTPS e seu navegador indicar (clicando no botão à esquerda da barra de endereço na maioria dos navegadores, por exemplo) que o certificado está assinado por uma autoridade confiável, então você está seguro e sabe você está no site pretendido. Eu queria saber se há alguma maneira de falsificar o fato de que um certificado foi assinado. Estou fazendo esta pergunta porque realmente não entendo o processo de verificação de que um certificado foi assinado corretamente. Eu estou supondo que seu computador tem que ir para a internet para verificar a validade de um certificado. Nesse caso, um DNS hackeado poderia enviar você para uma versão falsa do site da CA e dizer que um certificado é legítimo, mesmo quando não é? Existe alguma outra maneira de fingir isso?
As chaves usadas para verificar certificados já estão instaladas no seu computador. Se você estiver no Windows, poderá visualizá-los usando o Gerenciador de certificados . Se você expandir as "Autoridades de certificado raiz confiáveis", poderá ver as chaves armazenadas em sua máquina.
Portanto, um DNS invadido não pode substituir essas chaves. Se você está curioso sobre como os certificados se encaixam no quadro geral, você pode ler sobre a cadeia de confiança .