首先，咱们拆解第一个问题：当攻击者篡改了受害主机的DNS后，怎么绕过HTTPS的证书警告来实施钓鱼？核心思路就是让受害者的浏览器信任攻击者伪造的站点证书，常见手段有这几种：

• 社会工程学诱导：这是成本最低的方法。攻击者伪造的站点会弹出浏览器默认的“连接不安全”警告，再配合钓鱼话术——比如弹出假系统提示框，说“您的浏览器证书过期，请点击继续访问以完成安全更新”，或者在警告页面下方仿造“信任此站点”的按钮。很多普通用户对证书警告没概念，很容易中招。
• 植入伪造的根CA证书：既然DNSChanger已经能篡改系统DNS，大概率攻击者已经拿到主机的本地权限。他们可以把自己生成的根CA证书偷偷安装到受害主机的系统或浏览器信任列表里，比如Windows下用命令 certutil -addstore -f "Root" attacker-ca.cer 就能将伪造CA证书加入系统信任根。之后攻击者用这个CA签发www.google.com的伪造证书，浏览器会直接信任，不会弹出任何警告。
• 利用旧系统/浏览器的证书验证漏洞：针对未更新的老旧系统或浏览器，攻击者可以利用已知的证书链验证漏洞（比如早年部分浏览器对证书的Subject Alternative Name字段验证不严，或支持已废弃的弱签名算法），伪造出能被浏览器“误判”为合法的证书，绕过警告。

接下来是第二个问题：证书颁发机构（CA）是否可被绕过？

严格来说，合规的官方CA在正常情况下很难被直接绕过——因为浏览器和操作系统都预装了信任的根CA列表，CA签发证书前也会严格验证域名所有权（比如要求域名持有者提交DNS记录、邮箱验证或文件验证）。但也有几种特殊情况能突破CA的信任体系：

• 控制或攻陷CA机构：历史上确实发生过CA被黑客入侵的事件，攻击者拿到CA的签发权限后，就能合法签发任意域名的证书，完全绕过正常验证流程。另外，也存在攻击者通过伪造身份、贿赂内部人员等方式获取CA签发权限的极端情况。
• 利用CA的验证漏洞：部分CA的域名验证机制存在漏洞，比如早期的DNS验证逻辑有缺陷，攻击者可以通过已控制的受害主机DNS劫持来通过CA的域名验证，骗取目标域名的合法证书；或者通过钓鱼邮箱获取域名持有者的验证邮件，从而拿到证书。
• 本地信任体系篡改：这其实不算“绕过CA”，而是直接替换了本地的信任规则——就像前面说的，攻击者在受害主机上安装自己的根CA，让浏览器信任自己签发的所有证书，相当于绕开了官方CA的信任链。

内容的提问来源于stack exchange，提问作者again