Upřímně řečeno přestože České Poště bych v každém případě měl co vytknout, případ s certifikáty je klasickou ukázkou průšvihu celého systému s distribuovanými Trusted CA.
Podle mne je NAOPAK průser to, že vůbec někdo distribuuje s prohlížečem nějaké CA kterým pak pan Peterka slepě důvěřuje. Pokud bych se to pokusil parafrázovat jako on s pravou/falešnou poštovní doručovatelkou, pak bych řekl, že on sice nechce důvěřovat ženské stojící před ním, ale slepě důvěřuje tomu, že číslo jejího průkazu nalezl na jedné stránce v kroužkovém bloku, který dostal při koupi počítače. To, že by mu někdo mohl do toho bloku něco podstrčit , když s někým komunikuje a mění si lístky v kroužkáči mezi sebou už úplně ignoruje.
Krátce to srhnu - přednastavené CA zcela zásadně snižují bezpečenost kvalifikovaných podpisů čehokoliv. Správný postup by měl být
- vymazat všechny "důvěryhodné" CA z kompu
- nainstalovat si tam POUZE ty CA kterým OPRAVDU důvěřujete a přes hash si je důkladně ověřit z více stran
- nepracovat s vypnutým UAC ve Vistě nebo se nehlásit jako administrátor v XP pro běžnou práci
Tohle není problém ČP ale problém s důvěryhodností CA obecně.