Questo commento sembra parlare di una vecchia estensione VeriSign chiamata CZAG. Sembra essere stato relativamente comune una dozzina di anni fa, ma non sono sicuro che sia ancora usato. In effetti, sembra che il sistema di crittografia fosse estremamente sciatto; questo articolo (pubblicato su Usenix nel 2002) descrive l'estensione, che contiene e cosa trapelano attraverso un uso veramente scadente della crittografia.
La ricerca dell'estensione OID (2.16.840.1.113733.1.6.3) su Google rivela alcuni esempi di certificati contenenti tale estensione, ad es. questo (questo è un URL GitHub , Non sono sicuro di quanto tempo sarà valido)
Sembra che il caso d'uso per questa estensione fosse del tipo "VeriSign vuole fare soldi". La promessa commerciale era che gli utenti, con certificati abilitati CZAG, potevano registrarsi su alcuni siti Web, il sito estraeva automaticamente i dati demografici dell'utente ("Paese, Zip, Età e Sesso") senza richiedere all'utente di inserire le informazioni stesse. Per qualche ragione, in quei giorni, la gente pensava che fosse bello avere siti Web casuali che accedessero automaticamente alle loro informazioni private senza controllo. Ad ogni modo, era un sistema di opt-out, quindi si può presumere che la maggior parte degli utenti fosse semplicemente inconsapevole di questi imbrogli.
La maggior parte dei riferimenti a CZAG che ho trovato risalgono a prima dell'articolo del 2002, quindi suppongo che questa estensione sia stata discretamente rimossa dalle procedure di VeriSign dopo che è stato dimostrato quanto fosse debole l'offuscamento.