Поскольку шифровать должен не только сервер, но и клиент, клиенту важно убедиться в том, что выданный ему открытый ключ принадлежит именно той организации, с которой он хочет установить связь. Для этого служат цифровые сертификаты, которые выпускают так называемыецентры сертификации (Certificate Authority, или, сокращённо, CA). Цифровой сертификат содержит, среди прочего, открытые ключи владельца сертификата и подписан секретным ключом центра сертификации.

В интернете действует множество центров сертификации, связанных между собой иерархическими отношениями. Каждый аккредитованный центр сертификации наследует "доверие" у вышестоящего удостоверяющего центра, который подписывает его собственный сертификат. Вся эта замысловатая механика скрыта от обычных пользователей - браузеры выполняют необходимые проверки автоматически.

Компания DigiNotar была одним из таких центров сертификации.

29 августа в официальном блоге Google

При атаке "человек посередине" в коммуникационной сессии принимают участие три субъекта: клиент, сервер и посредник-злоумышленник, оказывающийся между ними. "Посредник" прикидывается сервером для клиента и клиентом для сервера. Сертификаты придуманы как раз для того, чтобы предотвратить подобные атаки. Поддельный сертификат не пройдёт проверку подписи, так как злоумышленник не может знать секретного ключа сервера. Каким-то образом получить настоящий сертификат - это единственная лазейка для злоумышленника.

Первое сообщение о возможной атаке .

"Когда я пользовался VPN, никаких предупреждений не было. Я думаю, это мой провайдер или правительство устроило эту атаку", - добавил автор исходного сообщения. Поскольку все интернет-соединения в стране идут через сеть местной телекоммуникационной компании Ertebatat Zirsakht, предположения, что она замешана в происходящем, не замедлили появиться.