Az Electronic Frontier Foundation jelentése szerint június óta legalább négy CA-nál észleltek jogosulatlan tanúsítvány-kibocsátást - ehhez képest a nagyérdemű egy ilyen esetről, a DigiNotar-éról hallhatott (volt még egy Comodo is, de az június előtti eset). Az eredmények az SSL Observatory adataira alapulnak, melyben egyszerűen azt vizsgálták, hogy az X.509-es Tanúsítvány Visszavonási Listákban (CRL) hol szerepel a visszavonás indokaként a "Kompromittált CA" megjegyzés.

A webes tranzakciók védelme csak annyira erős, mint a leggyengébb CA, CA-ból pedig nagyon sok van. A DigiNotar-t annak idején főként azért érte éles kritika, mert - bízva saját incidenskezelésük hatékonyságában - nem hozták nyilvánosságra az őket ért támadás tényét, ezzel védhetetlen helyzetbe hozva elsősorban a közvetlen célpontokat, de elméletileg az összes internetfelhasználót is. A mostani eredmény azt mutatja, hogy a DigiNotar esete egyáltalán nem volt kivételes sőt, a statisztika szerint havonta elesik egy tanúsító, minderről a széles közvélemény pedig mit sem tud. És bár a statisztika néha rosszabb a hazugságnál, vegyük számításba azt is, hogy ezek azok az esetek, amelyek kiderültek, és ahol a tanúsító legalább a CRL-en elismerte az incidenst!

Az EFF szerint a nyilvános-kulcsú instrastruktúra sürgős beavatkozást igényel, a probléma azonban nem megoldhatatlan. Megoldási javaslataikat egy későbbi cikkben fogják megjelentetni.

Offtopic: Érdekes lenne megnézni, hogy augusztus óta melyik magyar CA vont vissza tanúsítványokat...