A kulcsot azóta levették, így már nem lehet tudni, hogy pontosan mi is került ki a webre. A Mozilla levlista szerint a kulcs titkosítva - jelszóval védve - került ki az oldalra, így nem tudom, lehet-e tudni, hogy pontosan mi került ki.

Mindenesetre mind a képernyőkép, mind a Certigna CTO Mozilla levlistán, illetve a cég honlapján szereplő reakciója, mind a józan ész szerint (már ha esetünkben beszélhetünk józan észről) ez NEM a tanúsítványok aláírására használt, szolgáltatói magánkulcs, hanem a szolgáltató webszerverének a magánkulcsa volt.

Minden mértékadó szabvány/előírás - mind a Webtrust, mind az EU-s ETSI TS 102 042, mind az EV Guidelines - szerint a szolgáltatói magánkulcsot biztonságos hardvermodulban, HSM-ben kell tárolni. Így bármekkora marhaságot is csinál egy rendszergazda, a hitelesítés-szolgáltató egyszerűen nem tudja kitenni a weblapjára a szolgáltatói magánkulcsot.

A Certigna azt is nyilatkozta, hogy ez egy lejárt teszt kulcs volt. A "teszt" szó adott esetben sok mindent jelenthet, nem láttam a tanúsítványt, így ebben nem tudok állást foglalni. Ha a tanúsítványt éles szolgáltatói kulccsal írták alá, akkor az - szerintem - igenis éles kulcs.

A szolgáltatók a saját webszervereik számára is bocsátanak ki tanúsítványokat, de ezek pont olyanok, mint az ügyfeleik számára kibocsátott tanúsítványok. Ha a szolgáltató webszerverének a magánkulcsa kompromittálódik, az pont olyan, mintha egy ügyfelével történt volna ugyanez. Nem válnak hamisíthatóvá a szolgáltató által kibocsátott tanúsítványok, az Internet felhasználók nem kerülnek veszélybe stb. (Az adott szolgáltató adott honlapja persze megszemélyesíthetővé válik.) Az ügy szerintem erősen túl lett lihegve.

Ettől persze még óriási égés, hagy egy PKI-vel foglalkozó cég ilyen PKI hibát ejt...