Egyrészt kulcsszavak:
- CAA rekord
- DNSSEC
Másrészt kevered a szezont a fazonnal. A te általad felvázolt helyzet megvalósításához nem elég egy feltört CA. Nagyon nem.
1. El kell tudnod téríteni a DNS kéréseket.
2/a. Fel kell törnöd egy megbízható CA-t (ez lehet akár a céges is), ahol észrevétlenül kell tudnod kiállítani certet. ÉS/VAGY
2/b. Importálnod kell tudnod a Firefox böngészőmbe egy általad felügyelt CA-t, amivel aztán kiállítod a fake certet.
A DNS poisoning még esetleg sikerülhet - bár a mai rendszerek elég jól védettek ellene. De a 2/a és 2/b kivitelezése nem fog menni.
Nem sértésként mondom: Leírásod alapján nem értesz a PKI-hoz. Nincs ezzel semmi baj. Egy könyvet ajánlanék figyelmedbe (magyarul van, elmagyarázza az alapokat): https://berta.hu/e-szigno_book/