A Verisigntól Tim Callan az SSL Blogjában reagált, miszerint szerinte egyáltalán nincs szó súlyos hibáról, a Comodo apróságot talált, amit azóta javítottak.

A megjelent hírekből annyit állapítottam meg, hogy a Comodo a Google keresések segítségével megtalált a Verisign oldalán egy olyan speciális tanúsítvány-igénylő lapot, ahol egy nagy bank küldi be az igényléseit. Ez egy dedikált, nem nyilvános igénylő oldal, amit csak ez a bank használ, de úgy értettem, az oldal még egy jelszót is kér. Ha ez igaz, akkor ha a Verisign korrektül jár el a tanúsítvány kibocsátása során, és az oldalt védő jelszó erős, akkor ez egy kellemetlen, de nem jelentős biztonsági probléma.

A Comodo az utóbbi időben nagyon megerősödött, aggresszív marketing stratégiával nyomul a piacon. Például, sok biztonsági szoftvert - tűzfalat, vírusölőt - teljesen ingyenesen ad, ezzel csinál reklámot a tanúsítványainak.

Lényeges, hogy a hitelesítés szolgáltatók gondosan járjanak el a tanúsítvány-kibocsátások során, különben minden Internet felhasználót veszélyeztetnek.

A sebezhetőség nyilvánosságra hozatala során a Comodo a Common Computing Security Standards Forum (CCSS) ajánlásait követte, és egy független harmadik felet kért fel közvetítőnek. Igaz, a hiba jelzését követően alig néhány nappal már a honlapjunkon is közzétették a hírt, így az eljárásuk aligha tekinthető barátságosnak.

Nem ismervén a sebezhetőség pontos részleteit, én mindezt egyelőre a Comodo marketing stratégiája részének tartom.

Ui: Korábban egy Comodo-partner eljárásában derült fény hibára, amelynek következtében a Comodo ellenőrzés nélkül bocsátott ki SSL tanúsítványt. Az valóban csúnya ügy volt.