Fragen? Antworten! Siehe auch: Alternativlos
Ihr seid eine CA. Keine sonderlich seriöse CA; eine, die Kunden anbietet, auch den Private Key bei euch aufm Server zu generieren. Niemand, der klar bei Verstand ist, würde diese Option wählen. Wer sowas anbietet, nutzt damit also offensichtlich die Unkenntnis seiner Kunden aus.
Aber ihr seid eine CA, und ihr seid Reseller für Symantec. Symantec verkackt so dermaßen vollständig, dass sie bei Google rausfliegen. Ihr wollt also von der CA mit dem schlechtesten Ruf zur nächsten wechseln, zu Comodo. Comodo waren die, die Let's Encrypt über Markenrechtstricks vom Markt zu schummeln versucht haben. Die hier. Die hier. Die wurden mal nach einem Zertifikat für www.sb gefragt und haben ein Zertifikat für sb ausgestellt (ja, die TLD!). Die hier. Die Liste ist noch länger, ich breche mal aus Platzgründen ab. Um Comodo geht es ja hier auch gar nicht.
Ihr hängt jetzt also in einem Vertrag mit Symantec, und Symantec fliegt bei Google raus, verkauft ihr totes CA-"Business" an einen Laden namens DigiCert.
Ihr würdet jetzt gerne die Zertifikate alle zurückrufen, damit ihr den Kunden richtige Zertifikate verkaufen könnt. Ihr schickt also eine Mail an DigiCert. DigiCert antwortet: Nein, das könnt ihr nicht, das können nur eure Kunden.
Und ab hier wird es richtig geil. Die CA, die ihr euch vorstellt, heißt Trustico. DigiCert hat Trustico gesagt, sie würden die Zertifikate nur mass-revoken, wenn es Beweise für einen Security Incident gäbe. Und Trustico sagt daraufhin: Hold my beer! Und schickt (sagt DigiCert) eine Mail mit 23k Private Keys ihrer "generiert ihr mal den Key für mich"-Kunden an DigiCert. DigiCert muss daraufhin die ganzen Zertifikate zurückrufen.
Der Hammer ist, dass Trustico die Private Keys überhaupt hatte. Wie krass ist DAS denn!? Damit hat sich Trustico auch die restlichen Krusten ihres Rufes als CA gänzlich ruiniert. WTF?! Die haben die Keys aufgehoben!?!? OMFG!
Stellt euch mal vor, die hätten eine Command Injection irgendwo? Vielleicht gar noch als root?! Da wären ja alle Zertifikate weg!1!!