Nem láttam még ÁNYK-t, de ugye szoftvercsomagot is el lehet látni aláírással, ami a megváltozatlanságot garantálja.
Persze korlátlan lehetőségekkel mindent meg lehet csinálni, mindent lehet hamisítani - DNS-t, CA-t, certificate-okat, bevallást fogadó webservice-t.
Egyébként meg tökmindegy, hogy az ÁNYK-ban cseréled ki a certet vagy a jre-ben, szóval nem értem, hogy jön ide az a probléma, hogy a jre cert store-jában nincs benne pl. a microsec root CA tanúsítványa.