Ну и как мы помним, бывают центры сертификации, которые действительно делают сертификаты, которые нельзя подделать, а бывают не очень.
не бывает такого, любой авторизованный CA может выпустить серт на любой домен. Не просто так от этого защиты придумывают. Понятно что за такое его серты _могут_ отозвать и он станет пустышкой, но это имеет место быть.
Так, в сентябре 2015 года компания Symantec по ошибке своих сотрудников выпустила 164 нелегитимных сертификата для 76 доменных имен.