Použitý certifikát nebyl "falešný", alespoň z X.509 pohledu. Celá věc probíhá takto:
1) TrustWave je uznávanou certifikační autoritou v Mozilla i MSRCP seznamech (kořenový certifikát SecureTrust CA)
2) TrustWave vydala podřízený CA certifikát nějaké firmě v HSM modulu - tato podřízená CA může zase vydávat libovolné certifikáty
3) HSM modul sedí v routeru u zákazníka a při požadavku na https://domena.tld vystaví certifikát pro domena.tld a použije jej k sestavení SSL spojení směrem ke klientovi (a na druhou stranu otevře jako každá normální proxy spojení k cílovému serveru)
Takže z pohledu PC klienta vidím platný certifikát pro domena.tld, vystavený nějak pojmenovanou podřízenou autoritou a uznávaný mým prohlížečem, protože v něm mám kořenový certifikát TrustWave. Zjistit takovýto MITM mohu dvojím způsobem:
1) Pamatuji si odedříve, odkud nakupuje Google certifikáty a vím, že to není tato autorita (případně mám v prohlížeči rozšíření, které to hlídá za mě)
2) Přijde mi divné, že celý internet má certifikáty vydávané jednou a tou samou autoritou
Nutno zdůraznit, že TrustWave bude teď nejspíše neprávem zlynčována za činnost, která je pravděpodobně provozována zcela běžně dalšími velkými autoritami. TrustWave jen "měla gule" na to, aby s tím vylezla na světlo, ale vydávání subCA externím entitám je vcelku veřejným tajemstvím (a HW řešení pro výše popsanou činnost jsou normálně komerčně dostupná).
Pro TrustWave v tomto případě taky mluví fakt, že vydaná subCA byla uzamčena neexportovatelně v HSM modulu omezeném na tento účel. Nikdo neví, jestli nějaká jiná CA nevydává podobný certifikát jen tak na papíře a tudíž použitelný volně.