Vlákno názorů k článku Symantec chyboval s EV certifikáty, prohlížeče jim přestanou důvěřovat od Sten - Symantec má ještě větší problémy.

S takovým tvrzením bych byl mnohem opatrnější, protože ten článek je dost nevěrohodný. „An unauthenticated attacker to retrieve other persons' SSL certificates, including public and private keys“ – privátní klíč není součástí certifikátu a nesmí ho mít nikdo jiný, než vlastník – tedy ani certifikační autorita.

„All you had to do was click a link sent in [an] email, and you could retrieve a cert, revoke a cert, and re-issue a cert,“ To je něco jiného, tam se o privátním klíči nic nepíše. Odkaz na certifikát – z hlediska PKI žádný problém, certifikát je veřejný. Jediný problém by mohla být ochrana osobních údajů, pokud někdo certifikát zveřejnit nechtěl. Znovu vydání certifikátu – opět žádný problém, když útočník nemá privátní klíč, je mu obnovený certifikát k ničemu.

To pro vydání toho následného certifikátu nebylo potřeba žádost podepsat původním privátním klíčem? A to generování včetně soukromého klíče, to je taky vynález. Ono holt PKI ta pravidla nemá jen tak pro nic za nic, a když si někdo vymyslí, že to „vylepší“ o „userfriendly API“, tak to takhle dopadne…

Ale ten článek na The Hacker News je také bída. Že mají v certifikátech, veřejných a privátních klíčích hokej uživatelé, to chápu. Ale když někdo píše o bezpečnostní díře certifikační autority, měl by to používat správně, protože jinak není vůbec jasné, k čemu (a zda vůbec k něčemu) vlastně došlo.