Pokud kdokoli cestou disponuje CA, kterou prohlizec povazuje za "duveryhodnou", muze si vygenerovat certifikat pro zcela libovolnou domenu a prohlizec protestovat nebude.
Ve firemnim sektoru se prave presne toto a presne stejne vyuziva. Tu CA si provozuje firma, a jeji "duveryhodnost" na svem HW snadno zaridi. Klient pak v realu vubec nekomunikuje sifrovane se serverem, ale prave s proxy, o ktere si mysli, ze je to cilovy server.