Ha valaki cég, és ilyet csinál, annak a root CA-i nagyon hamar kikerülnek a trusted storeból, ha hanyagság, ha véletlen, ha direkt, ha csak azért, mert az ügyfél megtévesztette őket, mindegy. Van egy adott protokoll, amit be kell tartani, amit le kell ellenőrizni, és ennek fejében adnak ki certeket. A ca-k kiadása ennél sokkal szigorúbb, mert a ca-val konkrétan vissza lehet élni. Ugyanis akinek ca-ja van, az hitelesíthet, azaz aláírhat requesteket, amitől az így keletkezett cert hiteles lesz.
Ha olyan requestet ír alá, ami nem az ő fennhatósága alatt van, akkor konkrétan bűncselekményt követ el. Ha ezt az NSA bizonyíthatóan megtette, akkor a minősítője visszaveheti a ca-ját (igazából CRL alapján visszavonja), és így az a ca kikerül a láncból. Bizonyítani viszont nem igazán lehet így utólag...
--
PtY - www.onlinedemo.hu