N>что-то я не понимаю как это работает, есть ссылки на описание такой атаки? Существует иностранный сайт, майкрософт например, как злоумышленник сможет подписать мне его сертификат, если сертификат принадлежит майкрософту?

Злоумышленник при перехвате трафика подменит сертификат MS на свой сертификат, подписанный российским УЦ.
Браузер посчитает сертификат валидным, т.к. сертификат УЦ добавлен в trusted authoritities хранилище уровня ОС (или в trusted authorities браузера, если он не использует сертификаты из ОС).
Так работает PKI (public key infrastructure).

Для демонстрации атаки возьмите squid (https://wiki.squid-cache.org/Features/SslBump), или вот этот более специализированный https прокси https://crypto.stanford.edu/ssl-mitm/

(понятно, что в реальной атаке проксирование будет прозрачным (transparent) и на стороне злоумышленника).

Примеры таких уязвимостей при участии скомпрометированного УЦ:

Выявлены обманные SSL-сертификаты, полученные из-за халатности удостоверяющего центра TurkTrust
https://www.opennet.ru/opennews/art.shtml?num=35754

Mozilla объявляет ультиматум удостоверяющим центрам
https://www.opennet.ru/opennews/art.shtml?num=33127

Проект Mozilla разослал всем удостоверяющим центрам, корневые сертификаты которых поставляются в составе Firefox и других продуктов Mozilla, письмо с требованием отозвать все выданные сторонним организациям вторичные корневые сертификаты.

В последнее время становятся обычной практикой случаи генерации вторичных корневых сертификатов для обеспечения работы систем, направленных на транзитный перехват и расшифровку SSL-трафика, например, систем корпоративного отслеживания утечек данных. Генерируемые для подобных систем вторичные корневые сертификаты позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети, без привлечения удостоверяющего центра, авторизованного на выполнение подобных операций.