Ez a cikk nem arról szól, hogy mi van akkor, ha nem megbízhatónak minősített csomagokat teszel föl. (Elolvastad?) Arról szól, hogy ha egy csomagot aláírtak, akkor az örökre megbízható marad, így pl. teljesen megbízhatónak minősül egy régebbi debian openssl csomag. Noha egyáltalán nem biztonságos. Másrészt a csomaglista nem hitelesített, egy rosszindulatú/nem frissített mirror, vagy egy man in the middle támadó miatt azt hiheti a rendszer, hogy az a bugos openssl a legfrissebb elérhető csomag, ezért azt telepíti. És ezen lehetne javítani, a csomaglisták időbélyeges szignózásával.