Anche se molti certificati SSL hanno vantato garanzie stravaganti - in genere circa $ 10k minimo a $ 250k per violazione - per garantire che i loro certificati siano validi, fino ad oggi, ho sentito che non c'è mai stato un singolo pagamento dovuto al fatto che i certificati limitano la garanzia solo ai dati trasmessi in rotta anziché post-trasmissione (il che è molto raro perché gli hacker di solito scelgono come destinazione i database di archiviazione per ottenere più dati in un'unica soluzione).
Ancora, ora che è stata rilevata una vulnerabilità in TLS 1.0 che consente la violazione della crittografia per i dati memorizzati nei cookie (ho ricevuto le notizie da questo articolo: link ) significa che gli Issuer SSL sono responsabili per i dati rubati poiché l'attacco va direttamente ai dati crittografati durante la trasmissione.
Inoltre, è possibile che le CA impongano ai clienti di ottenere nuovi certificati che utilizzano TLS 1.1 o un'altra tecnologia comprovata, al fine di ridurre il rischio (o consentire loro di continuare a utilizzare 1.0 senza la garanzia), o è quello no fattibile dal momento che sono sicuro che molti proprietari di SSL utilizzano l'hosting condiviso o la gestione in outsourcing, quindi hanno poca voce nel processo.