A böngészők teljes mértékben megbíznak az erre szakosodott szervezetek által kiadott ssl-tanúsítványokban. Ezek igazolják, hogy a betöltött weboldal valóban az, aminek nevezi magát. A hamis tanúsítványok azonban lehetővé teszik, hogy köztes szereplők, például bűnözők vagy kémkedni kívánó kormányok, észrevétlenül lehallgassák a biztonságosnak hitt kommunikációt.
Néha azonban előfordulnak csúnya incidensek. A holland Diginotarnak például azért kellett bezárnia, mert leleplezték, hogy az iráni kormánynak hamis Google tanúsítványokat adott ki, hogy azokkal a hatóságok kémkedni tudjanak politikai menekültek után.
Az eset után a Google kialakított egy rendszert a hamisítványok kiszűrésére. A böngészők és a felhasználók szinte valós időben indexelik le a világ összes tanúsítványát, és ha gyanús elemet találnak, akkor azt hamar kizárják a megbízható tanúsítványok közül.
Most a világ egyik legnagyobb és legnevesebb tanúsítványkiállító szervezetét, a vírusirtókat is készítő Symantecet sikerült elkapni egy hamis Google-tanúsítvánnyal.
A vállalat ráadásul olyan extra tudású tanúsítványt állított ki, ami többszörösen garantálta, hogy egy valódi, hivatalos tanúsítványról van szó. A Symantec azt állítja, hogy a tanúsítványt egy rendszer teszteléséhez állították ki, kizárólag belső használatra, de az eljárást ők is helytelennek találták, és kirúgták a felelősöket. Állítólag nem volt veszélyben az internet.