Il problema univoco indotto dal certificato hard-fail è che introduce un choke-point aggiuntivo al di fuori del controllo del proprietario del sito ma nel percorso critico per la funzione del sito, che in genere non è particolarmente ben equipaggiato.
Poiché tutti i siti sicuri richiedono certificati TLS e poiché la maggior parte dei certificati viene rilasciata da uno solo di un piccolo numero di CA, queste CA rappresenterebbero un obiettivo molto attraente per le persone interessate a causare interruzioni. Inoltre, queste CA sono in quasi tutti i casi particolarmente mal equipaggiate per respingere un attacco denial-of-service avanzato, specialmente rispetto ai siti che proteggono.
Finché le maggior parte persone lasciano la verifica CRL / OCSP difficile da fallire, le CA non verranno prese di mira perché il danno di tale attacco sarebbe minimo. Ma se la verifica rigorosa diventa sempre l'impostazione predefinita in un browser, un attacco contro Verisign o RapidSSL o Comodo potrebbe eliminare intere porzioni di host protetti, causando enormi danni.
Gli attacchi di negazione del servizio sono spesso usati per mascherare o abilitare un attacco più avanzato e mirato. Ma nel caso esaminato qui, il vero bersaglio di un tale attacco non può mai essere conosciuto. Il danno collaterale sarebbe così vasto che sarebbe impossibile rintracciare una singola vittima. Sarebbe come spegnere il potere di un'intera città per rubare una singola gioielleria. Ma se la compagnia elettrica è un obiettivo più facile della gioielleria, allora un tale attacco sarebbe plausibile.
Come altra analogia, se la verifica fosse l'impostazione predefinita, il servizio di verifica online di DigiCert o Verisign sarebbe molto simile alla rimozione dell'intero registro di .com
DNS. Molte aziende dipendono da questo e la sua protezione è al di fuori del loro ambito di influenza.
In questo momento, ad esempio, DigiCert è la CA utilizzata da Facebook. E mentre Facebook ha più datacenter sparsi in tutto il mondo, DigiCert no. Facebook ha le risorse per resistere a un attacco più grande di chiunque altro abbia mai visto. Ma DigiCert no. Se la verifica del certificato di hard-fail era l'impostazione predefinita, quindi un utente malintenzionato non ha bisogno di attaccare Facebook per avere successo, avrebbe solo bisogno di rimuovere DigiCert.