Sucede de vez en cuando: alguna organización que vende certificados SSL de confianza pública hace algo monumentalmente estúpido, como generar, almacenar y luego divulgar intencionalmente todas las claves privadas de sus clientes (Trustico), permitiendo que las claves privadas sean robadas a través de XSS (ZeroSSL) , o más recientemente, explotando literalmente la ejecución remota de código en clientes ACME como parte de su proceso de emisión (HiCA, también conocido como QuantumCA).