Sempre più prove sembrano emergere che la vulnerabilità Heartbleed perde la porzione di chiave privata del certificato SSL in uso.
Come tale può effettivamente significare che se un utente malintenzionato fosse anche in grado di monitorare passivamente il traffico SSL, quando ottiene questa chiave, potrebbe decrittografare un numero illimitato di dati SSL, potenzialmente accedendo a migliaia dei dati sensibili dell'utente.
Ma pensavo che implementazioni come Perfect Forward Secrecy dovessero difendersi da questo utilizzando una chiave simmetrica che voleva dire che la rivelazione della chiave privata SSL sarebbe stata ancora insufficiente per decodificare il traffico SSL registrato?
Quanto è diffuso l'uso di Perfect Forward Secrecy e se non è così, è banale da configurare in un contesto HTTPS?