no es tan simple... tiene que ser una mezcla de cosas, entre ellas, primero ser filtro del 100% de tu conexión (es decir ser tu ISP) ya que no solo tiene que filtrar tu pagina, sino tambien explotar los certificados de las entidades certificadoras...
segundo, hacer el cambio de certificado en fecha de vencimiento (si no, saltará la típica pagina "esta conexión no es segura")
han sido vulnerados obteniendo las rsa-key
no, nunca tuvieron las key... el certificado nunca fue roto, fue sustituido por uno falso, es un asunto complicado y que requiere atención... en hecho de ahí en más la unica seguridad es que tu fueras a la sede de la pagina en tu país, solicitaras la llave publica de ellos y la metieras a mano... y en este caso, el empleado podría estar pagado por la cia para dar una falsa...
ya para arriba no pueden haber más niveles de seguridad XD (bueno, si, vpn que tiene un certificado fijo, pero no uno publico, sino uno personal que tu hagas el certificado, ya que no sabes si quien te lo dio, lo copia para el, y esto no puede ser por internet, porque si no podrían interceptar tu comunicación original, y tampoco podría ser en tu país ya que si está pegado al mismo isp es cosa de saber que tu vas a allí y de allí sales, ergo lo que salga del servidor, eres tu)