Sama technologia stojąca za infrastrukturą klucza publicznego nie stwarza zagrożenia. Projektanci PKI od samego początku zdawali sobie sprawę, że fałszywie wydawane certyfikaty mogą i będą się pojawiać. Zapewnili więc możliwość ich odwoływania. Po zauważeniu oszustwa certyfikaty są cofane, a aktualizacje bezpieczeństwa informują o ich uchyleniu.

To prawda, że atak ComodoHackera był spektakularny, jednak nie dokonał niczego odkrywczego. Już wcześniej zdarzały się takie sytuacje i prawdopodobnie będą powtarzać się w przyszłości. Fakt, że taki atak się powiódł nie sprawił przecież, że algorytmy kryptograficzne, na których polega światowy system PKI, przestały być skuteczne.

Najsłabszym elementem systemu są użytkownicy

99 proc. użytkowników na nie ma pojęcia, czym jest certyfikat cyfrowy, jak działa PKI oraz co oznacza dla bezpieczeństwa ich komputera. Większość osób po otrzymaniu w przeglądarce komunikatu o niebezpiecznym certyfikacie zatwierdza go i przechodzi dalej. Czynią to mimo ostrzeżeń, że w ten sposób ujawnią swoje informacje lub trafią na niebezpieczną stronę.

Niektóre firmy, których certyfikaty zostały odwołane, zamiast wystąpić o ich odnowienie, wyłączają opcję ich sprawdzania w przeglądarce, by nie utrudniało im to pracy. Nie zdają sobie sprawy, że akceptowanie fałszywych certyfikatów jest często równoznaczne z akceptowaniem realnego zagrożenia i może prowadzić do dużych strat.

Infrastruktura klucza publicznego działa zgodnie z zamierzeniami jej projektantów i w tym znaczeniu odniosła sukces. Nie zmienią tego ataki takie jak niedawny przeprowadzony przez irańskiego hakera. Jednak, z uwagi na czynnik ludzkiego zachowania, system PKI nie jest tak skuteczny, jak powinien być.