SSL segítségével a kérdéses webszerver tanúsítványa alapján győződhetünk meg róla, hogy valóban azzal a weboldallal kommunikálunk, amelyikkel szeretnénk. Ha igaz lenne, hogy bárki bármilyen névre/címre igényelhet tanúsítványt, egy támadó bármely oldalt megszemélyesíthetne.

A Mozilla komolyan vette az ügyet és megkezdte annak kivizsgálását.

A Comodo 25%-ra taksálja saját piaci részesedését az SSL tanúsítványok globális piacán. Így ha a Mozilla drasztikus szankciókat alkalmazna a Comodoval szemben (pl. alapértelmezetten elutasítaná a comodos tanúsítványokat), valószínűleg minden résztvevő rosszul járna: aki comodos tanúsítványt vett, annak egyszer csak nem működik a tanúsítványa Mozilla alatt; a Comodonak nagy veszteségei lennének, mert sokan visszakövetelnék a pénzüket; a Mozilla nem működne egy csomó weboldallal; és a Comodo valószínűleg be is perelné a Mozillát.

Számomra kissé elszomorító, hogy úgy tűnik, nem sok eszköz van egy nagy CA-val szemben. Ha szolgáltatók egy adott körét fogadjuk el valamilyen célra (pl. SSL tanúsítványok hitelesítésére), a PKI legfeljebb akkora biztonságot jelenthet, mint a legkisebb biztonsággal működő szolgáltató legkisebb biztonsággal működő viszonteladója. Hibás tanúsítványok, hibás gyakorlatok bármikor előfordulhatnak, kíváncsi vagyok, mi lesz az ügy eredménye.

(A Comodo egyébként ingyenes informatikai biztonsági szoftvereket is készít, ezzel is hírverést csapva tanúsítványainak. A napokban próbáltam ki a Comodo Internet Security /tűzfal+vírusölő/ ingyenes változatát, és egyelőre nagyon jók a tapasztalataim.)