ถ้าผู้ออกใบรับรองสามารถโดนโจมตี ซึ่งจะทำให้ระบบทั้งหมดเกิดความเสียหาย แม้ว่าหน่วยงานทั้งหมดจะเชื่อถือผู้ออกใบรับรองที่โดนบุกรุกนั้น ยกตัวอย่าง กรณีใบรับรองสนับสนุนการโจมตีเช่น Eve จัดการบางอย่างให้ได้การรับรองจาก CA ซึ่งมาจากใบรับรองของเธอที่อ้างว่าเป็นของ Alice ใบรับรองจะแถลงต่อสาธารณะว่านี่เป็นของ Alice และอาจรวมข้อมูลอื่น ๆ ของ Alice ข้อมูลบางอย่างเกี่ยวกับ Alice เช่นนายจ้างของเธออาจจะจริง ซึ่งช่วยเพิ่มความน่าเชื่อถือของใบรับรอง อย่างไรก็ตาม Eve อาจมีข้อมูลกุญแจส่วนตัวของใบรับรองที่สำคัญทั้งหมด ซึ่ง Eve สามารถใช้ใบรับรองเพื่อทำการลงนามดิจิทัลในอีเมลและส่งไปให้ Bob เพื่อหลอก Bob ให้เชื่อว่าอีเมลนั้นเป็นของ Alice โดย Bob อาจตอบอีเมลที่ถูกเข้ารหัสนั้น และเชื่อว่าจะถูกอ่านโดน Alice ซึ่ง Eve สามารถถอดรหัสอีเมลนั้นมาอ่านได้โดยใช้กุญแจส่วนตัว การทำลายระบบของผู้ออกใบรับรอง ที่โด่งดังเช่น กรณีนี้เกิดในปี พ.ศ. 2544 เมื่อผู้ออกใบรับรอง VeriSign ได้ออกใบรับรองสองตัวให้แก่บุคคลผู้แทนของบริษัทไมโครซอฟท์ ใบรับรองนั้นมีชื่อว่า “Microsoft Corporation” ดังนั้นอาจถูกใช้เพื่อหลอกใครบางคนเพื่อให้เชื่อว่าเป็นการปรับปรุงซอฟต์แวร์ของไมโครซอฟท์ ซึ่งจริง ๆ แล้วไม่ใช่ การทุจริตนี้ถูกพบในต้นปี พ.ศ. 2544 ซึ่งไมโครซอฟท์ และ VeriSign ได้ทำขั้นตอนเพื่อลดผลกระทบของปัญหาดังกล่าว[19][20]

ในปี พ.ศ. 2554 ใบรับรอง *.google.com ที่หลอกลวงซึ่งบริษัท Comodo และ DigiNotar ได้รับมานั้น[21][22] มีการกล่าวหาว่ากระทำโดยแฮกเกอร์ชาวอิหร่าน โดยมีหลักฐานว่าใบรับรอง DigiNotar ที่ปลอมนั้นถูกใช้เพื่อการโจมตีแบบ man-in-the-middle ในอิหร่าน[23]

ในปี พ.ศ. 2555 เป็นที่ทราบกันว่า Trustwave ได้ออกใบรับรองชั้นรองจากระดับ root เพื่อใช้ในการจัดการดักจับการส่งข้อมูล (man-in-the-middle) ในองค์กรที่เป็นที่ยอมรับ โดยดักจับการส่งโพรโทคอล SSL ของเครือข่ายภายในโดยใช้ใบรับรองนั้น[24]