Preto milé deti, keď si generujete žiadosť o certifikát (CSR), tak neposielajte svoje privátne kľúče certifikačnej autorite, aj keď vám poskytnú tool, ktorý to všetko spraví za vás.

Posílat privátní klíče je přece nesmysl, z tohoto důvodu je nesmysl JAKÝKOLI online generátor klíčů/CSR. Kontrola nad privátním klíčem má být jednoznačně omezená.


A jen přidám ještě jednu poznámku: Byly doby, kdy procesy pro vystavování certifikátů byly opravdu složité, dlouhé a velmi rigidní - jenže také těchto certifikátů bylo jen pár. Dnes je HTTPS nepsaným standardem, který (zatím mírně) vynucují všechny prohlížeče, pokud detekují přihlašovací formulář. Problém tedy nastává v tom, že počet vydávaných certifikátů raketově roste, s tím i počet zprostředkujících CA (intermediate CA) a samozřejmě roste i celková náročnost co se týká času a zdrojů - nelze tedy očekávat, že při vystavení 1000 certifikátů týdně bude proces stejně důkladný, jako při vystavování 10 certifikátů týdně, a to i s ohledem na pokles cen za vystavení.

edit: a když se podíváš na ten seznam Mozilly, zjistíš, že půlka věcí jsou problémy s korporátními/federálními systémy, vyžadujícími "zpětnou kompatibilitu", a že se Symantec sám napráskal, že to udělal. Ono je totiž pěkné říct že třeba "odedneška SHA1 nevedeme", ale existují tisíce systémů, které fungují leta, mají dlouhou dobu implementace změn (nebo tyto změny nejsou z důvodu špatného návrhu možné, nebo jsou příliš drahé apod.) Tím opět neobhajuju Symantec, ale ukazuju, že problém je někde úplně jinde a velmi pravděpodobně by se konal i s jiným CA (velmi zřejmé to je na případě UniCredit)