vir: Ars Technica
CCA sicer trdi, da so lažni certifikati le štirje, a Googlov Adam Langley trdi, da imajo dokaze o večjem številu izdanih lažnih certifikatov. CCA je sicer takoj razveljavila vse certifikate, ki jih je izdal NIC, a uvrstitev na listo neveljavnih (revocation list) ni stoodstotna rešitev.
Windows in IE sta posebej prizadeta, ker je CCA uvrščen v Microsoftov Root Store kot zaupanja vreden izdajatelj certifikatov, kar avtomatično pomeni tudi NIC. Drugi operacijski sistemi niso prizadeti, prav tako so na Windows drugi brskalniki varni, ker uporabljajo druge sezname zaupanja vrednih izdajateljev. Vseeno je Chrome posodobil vgrajeno listo razveljavljenih certifikatov, tako da vključuje tudi CCA.
Hitro se je odzval tudi Microsoft, ki se je odločil za srednjo pot. Niso v celoti odstranili CCA-ja, kar bi lahko povzročilo težave, ampak so blokirali 45 sumljivih certifikatov. Ker so ranljive vse verzije Windows, je treba posodobitev namestiti na vseh od Windows Viste dalje. (Pa imamo še en razlog, da res upokojimo Windows XP.) Posodobitev dodaja preklic teh certifikatov neposredno v Windows, tako da hekerji ne bodo mogli obiti spletnega preverjanja, ali je uporabljeni certifikat na seznamu preklicanih. Toda ker se Microsoft ni odločil za preklic vseh certifikatov iz CCA-ja, to pomeni, da so teoretično na spletu še lahko kakšni lažni certifikati, ki (še) niso preklicani.
Tovrstni incidenti kažejo, da je trenutno sistem potrjevanja, izdajanja in overjanja certifikatov zastarel, saj lahko zaupanja vreden CA izda certifikat za katerokoli stran.
