ถ้า CA สามารถโดนโจมตี, ทำให้ระบบทั้งหมดเกิดความเสียหาย; แม้ว่าหน่วยงานทั้งหมดจะเชื่อ CA ที่โดนบุกรุกนั้น. ยกตัวอย่าง, สนับสนุนการโจมตี, Eve, จัดการบางอย่างให้ได้ปัญหาของตัว CA มาจากใบรับรองของเธอที่อ้างว่าเป็นของ Alice. ใบรับรองจะแถลงต่อสาธารณะว่านี่เป็นของ Alice, และอาจรวมข้อมูลอื่นๆของ Alice. ข้อมูลบางอย่างเกี่ยวกับ Alice เช่นนายจ้างของเธอ, อาจจะจริง, ช่วนเพิ่มความน่าเชื่อถือของใบรับรอง. อย่างไรก็ตาม Eve อาจมีข้อมูลกุญแจส่วนตัวของใบรับรองที่สำคัญทั้งหมด. Eve สามารถใช้ใบรับรองเพื่อทำลงนามดิจิตอลตัวอีเมลและส่งไปให้ Bob, หลอก Bob ให้เชื่อว่าอีเมลนั้นเป็นของ Alice. Bob อาจตอบอีเมลที่ถูกเข้ารหัสนั้น, เชื่อว่าจะถูกอ่านโดน Alice, Eve สามารถถอดรหัสอีเมลนั้นมาอ่านได้โดยใช้กุญแจส่วนตัว การทำลานระบบ CA ที่โด่งดังเหมือนกรณีนี้เกิดในปี 2001, เมื่อผู้ออกใบรับรอง VeriSign ได้ออกใบรับรองสองตัวให้แก่บุคคลผู้แทนของ Microsoft. ใบรับรองนั้นมีชื่อว่า “Microsoft Corporation”, ดังนั้นอาจถูกใช้เพื่อหลอกใครบางคนเพื่อให้เชื่อว่าเป็นการปรับปรุงวอฟต์แวร์ของ Microsoft ซึ่งจริงๆแล้วไม่ใช่. การทุจริตนี้ถูกพบในต้นปี 2001. Microsoft และ VeriSign ได้ทำขั้นตอนลดผลกระทบของปัญหา ในปี 2011 ใบรับรองที่หลอกลวงนั้นได้รับมาจาก Comodo และ DigiNotar, กล่าวหาโดยแฮกเกอร์ชาวอิหร่าน. มีหลักฐานว่าใบรับรอง DigiNotar ที่ปลอมนั้นถูกใช้เพื่อการโจมตีแบบ man-in-the-middle ในอิหร่าน. ในปี 2012, เป็นที่รู้กันว่า Trustwave ได้ออกใบรับรองขั้นใต้ระดับ root เพื่อใช้ในการจัดการการส่งข้อมูล (man-in-the-middle), ที่ยอมรับในระดับองค์กรเพื่อจับการส่ง SSL ของเครือข่ายภายในโดยใช้ใบรับรองนั้น.