El que tenga acceso a la clave privada utilizada por un servidor SSL tiene el poder técnico para:
- Suplantar cualquier servidor con un nombre que coincida con el que está inscrito en el certificado.
- Descifre las sesiones que hayan sido escuchadas de forma pasiva (a menos que la sesión SSL utilice uno de los conjuntos de cifrado "DHE" que proporcionan perfecto secreto hacia adelante , pero tales suites rara vez se seleccionan de forma predeterminada, alguien debe configurarlas explícitamente).
Por lo tanto, otorgar la misma clave privada a muchas personas es realmente confiar en todos ellos, y hacer que confíen unos en otros. Recuerda que "alguien en quien confías" es una expresión que realmente significa "alguien que tiene el poder de traicionarte".
En general, una vez que un valor secreto es conocido por más de dos personas, ya no es un secreto, sino un poco discreto. Además, no puede forzar el olvido, por lo que si su cliente S quiere dejar de hacer negocios con uno de los proveedores a los que S le dio una copia de la clave privada, tiene que cancelar todo (revocar el certificado, crear una nueva con una nueva clave, y distribúyala) - alternativamente, S puede subir un nivel en la escala de la credibilidad, y simplemente asumir que todos son honestos y competentes, y que los proveedores con los que ya no tienen Sin embargo, cualquier relación comercial se hará cargo de su clave privada, ya que no se filtrará a través de una cinta de copia de seguridad o de un interno poco amable.
Además, se sabe que el soporte para los certificados comodín es un poco inestable, ya que históricamente han sido una fuente de problemas (no per se, pero amplifican el poder de la molestia de un malhechor que consigue robar la clave privada correspondiente) . Los proveedores de navegadores tienden a restringirlos de maneras arbitrarias y cambiantes.
Hay CA que proporcionan certificados de servidor SSL de forma gratuita . ¿Qué tan barato tiene que ser para encontrar certificados gratuitos demasiado caros?