На примере наших госсайтов
Есть сайт на котором должно работать шифрование ssl. Но наши не хотят делать нормально, потому что крогом враги, и делают СВОЙ ssl серт, подписывая его СВОИМ центром сертиф.
В итоге при переходе на сайт - браузер будет ругаться, т.к. ssl он видит, но проверить кем выпущен не может, т.к. не публичный центр сертиф его выпустил
Для того чтобы этого не происходило - в систему требуют поставить корневой серт от нашего центра сертификации. После этого браузер перестанет ругаться, т.к. теперь он может отследить этот сертификат сайта(и проверить) до центра сертификации
Почему нельзя устанавливать левые сертификаты от центров(в том числе российские и вообще любые, мое мнение)
Потому что переходя на сайт того же гугл, сертификат сайта проверяется центром от гугла, и если этот сайт подменит провайдер - Вы об этом узнаете в браузере
Но, если Вы установили левый серти от центра, и он выпустит серт для сайта гугл, а провайдер подменит эту страницу на свою - браузер не будет ругаться, т.к. у него совпадет ssl сертификат сайта с тем, что указано в корневом(от центра серт)...
По такому же принципу делают прокси-серверы во многих компания, ставя свой серт на ПК юзверей. Это позволяет им расшифровать весь трафф, который идет в шифрованном виде. И как следствия - получить и записать информацию - че там на сайте делал пользователь( от чего по идее и защищает ssl , от подмены сайта и перехвата вводимой на нём информации)