in theorie, ja.
althans, ze zouden via de FISC (United States Foreign Intelligence Surveillance Court) GlobalSign kunnen forceren een nieuwe certificaat te maken.
de sleutels van de certificaten zijn gebonden aan het systeem waarop ze zijn gemaakt, dus alleen de certificaat servers van GlobalSign kunnen een kopie maken van bestaande certificaten.
in praktijk, is dat dus heel lastig, vooral omdat GlobalSign een geautomatiseerd CRL (certificate revocation list (lijst van ingetrokken certificaten) systeem gebruikt, zodat een kopie word gemaakt met nieuwe sleutels word het vorige certificaat automatische ingetrokken, en dat valt nogal op.
overigens is het bij het vooraf aftappen van de verbinding veel makkelijker een man-in-the-middle aanval te doen dan de certificaten te kopiƫren.
dit komt omdat het zelfs met een kopie van het certificaat zeer lastig is om verkeer om te leiden zonder medewerking van de organisatie waar de eigenlijk servers staan, via eigenlijk vrij simpele software is als je vooraf meeluistert het echter enorm simpel om de sleutels te krijgen waardoor je alles mee kan lezen.
omleiden van het verkeer zou echter toegang tot het netwerk van een provider verijzen, wat de NSA in Amerika makkelijk kan, in Nederland zal dat echter veel lastig zijn voor de NSA (tenzij ze samen werken met de AIVD nagenoeg onmogelijk zelfs), al hebben ze een kopie van het certificaat, je verbind met een server in Nederland, en ik ga er van uit dat jou PC ook in Nederland is, dus dat omleiden moet in Nederland gebeuren.
wel zouden ze de DNS records kunnen wijzigen, dat geeft echter 2 problemen: 1. DNS word gecached, en het kan tot 24 uur duren voor het effect heeft, 2. de banken zouden vrij snel merken dat hun eigen site het niet meer doet omdat beheer logins niet meer zouden werken.