در واقع ، WebPKI یک سیستم توزیع شده ذخیره شده Trust-On-First-Us است. یک CA بسیار نزدیک به ستون فقرات اینترنت میزبانی می شود و CA های خوب چک های چند منظره ای را انجام می دهند ، به این معنی که آنها در چندین مکان در سراسر جهان میزبانی می شوند ، هر مکانی که به ستون فقرات اینترنت وصل می شود ، و بررسی اعتبار سنجی DNS یا HTTP را از چندین مکان اجرا می کنند.

اگر در یک کافی نت با WiFi ربوده شده هستید و سعی در انجام TOFU دارید ، MiTM را دریافت خواهید کرد. اما ارتباط MiTM برای ارتباط میان گفته AWS و GCP بسیار دشوار است – این که ترافیک احتمالاً فقط توسط آمازون ، گوگل ، یک ISP ردیف 1 و NSA می تواند MiTM باشد.

فرض کنید که هر دولت ملی مستقل می تواند یک اتصال MiTM باشد. بین سرورهایی که به صورت فیزیکی در داخل کشورشان و یک سرور خارج از کشور میزبان هستند. بنابراین ، اگر به عنوان مثال ترکیه می خواست MiTM را در اختیار هر سرور در ترکیه قرار دهد. دولت ترکیه همچنین می تواند به CA CA سفارش دهد تا گواهینامه هایی را صادر کند که توسط همه مرورگرها قابل اعتماد باشد.

سیاهههای مربوط به شفافیت گواهینامه گواهی برای دامنه شما را نشان می دهد که شما مجوز نگرفته اید. اگر این مورد توجه شود و گزارش شود ، این امر باعث می شود كه CA از مدار خارج نشود ، به صورت زنده در mozilla.dev.securance.policy زندگی كنید. می توانید بر روی پرونده های شفافیت گواهینامه معتبر دامنه های خود نظارت کنید (یا به کسی پرداخت کنید تا این کار را برای شما یا شخص دیگری انجام دهد).