A támadó bejuttat egy fake ca-t a megtámadott eszközre, és azt a ca-t használva bontja/újracsomagolja a TLS-t. Ennek a működését kivédeni hivatott például az, hogy a szerver oldal csak adott CA által aláírt certet bemutató klienssel hajlandó csak "szóba állni".