Názor k článku Symantec chyboval s EV certifikáty, prohlížeče jim přestanou důvěřovat od Sten - Podle informací přímo od Chrise Byrna, který tu...

Podle informací přímo od Chrise Byrna, který tu díru objevil, u některých partnerů šlo generovat certifikáty včetně soukromých klíčů přes jejich webové rozhraní. Tam pak šlo stáhnout i privátní klíče. Většina firem to samozřejmě nedělala, problém ale je, že nevíte, jestli ten certifikát podepsaný Symantecem náhodou nebyl vydaný takovou cestou.

U toho obnovení certifikátů šlo o dost zásadní problém, nevydával se znovu totožný certifikát (k čemu by to bylo?), ale certifikát pro stejnou doménu z nového CSR. Které tam vložil útočník. A aby to bylo ještě lepší, šlo dokonce vypnout notifikaci majiteli.