Die Basisanforderungen für Zertifizierungsstellen lauten:
Kompromiss mit dem Schlüssel: Ein privater Schlüssel gilt als gefährdet, wenn ... es eine praktische Technik gibt, mit der ein Unbefugter seinen Wert entdecken kann. ...
In Abschnitt 3.1.5 heißt es auch:
Die Zertifizierungsstelle kann ein Zertifikat innerhalb von 24 Stunden widerrufen, wenn einer oder mehrere der folgenden Fälle eintritt:
...
13.Die Zertifizierungsstelle wird auf einen möglichen Kompromiss des für die Ausstellung des Zertifikats verwendeten privaten Schlüssels der untergeordneten Zertifizierungsstelle hingewiesen.
Jede Zertifizierungsstelle, die ihre privaten Schlüssel gespeichert hat, die sie zum Signieren auf einem TLS-fähigen Front-End- Webserver (der eine anfällige Version von OpenSSL verwendet) verwendet, muss alle mit diesem Schlüssel signierten Zertifikate sperren oder möglicherweise fehlgeschlagene Prüfungen und den anschließenden Ausschluss durchführen Vertrauen in Browser usw.
Es gibt jedoch keinen Grund zu der Annahme, dass die Zertifizierungsstellen über die Schlüssel verfügen, die zum Signieren von Zertifikaten auf öffentlichen Webservern gespeichert sind. Tatsächlich werden die Schlüssel für die Stammzertifikate häufig vollständig offline gespeichert.
In Bezug auf die privaten Schlüssel von Front-End-Webservern (die Schlüssel, die mit Zertifikaten verknüpft sind, die zur Authentifizierung bei Clients verwendet werden), sind sie möglicherweise gefährdet.