#1, nem olvastam végig, de rögtön az elején avval kezd, hogy kérték a Google-t, hogy distrust-olja ezeket a Chrome-ban.
Vagyis, amit másutt kifejtettem, az itt a gyakorlatban is úgy tűnik, hogy működhet.
#2, A CEO hülye volt. Biztosan lesz jó kis bukta a stock árfolyamaikon. A saját részemről azt sem értem, hogy egy cert kiállításához miért küldi el valaki a private key-jét egy CA-nak? Ennyire nagy a sötétség?
Az a véleményem, hogy ahol ennyire gáz a szakértelem, ott tök mindegy, hogy most az ssl-hez tartozó kulcs szivárog ki, vagy legközelebb egy másik rsa private key, amivel passwordless root-ként bejutsz kulcs-infrastuktúra gépekre.
Az olyan weboldalt megnézni / megnyitni, így is úgy is kockázat.
A zöld lakat funkciója nem a weboldal tartalmát illetően biztosít téged. Az arról biztosít, hogy csak a CA által hitelesített entitás tulajdonában lévő kulcs birtokában van lehetőség a tartalmát befolyásold.
Na most, ha valaki ezt a kulcsot közhírré teszi...
Az számomra kvázi evvel az akciójával azt jelzi, hogy egyetért vele, bármit is mondanak a nevében.
Számomra továbbra is, "hitelesen" az marad a hülye, akinek a nevére a CA szól.
Az odavezető ösvény már részletkérdés. Akármerről nézzük, a CA subject felelőssége nem elvitatható semmilyen esetben. Period.