Ja, ich hatte mir das nicht genau genug angeschaut - bei der gewählten Lösung ist es technisch sogar zwingend, auch den private Key zum Download anzubieten. Und da das neue Zertifikat wohl auch signaturfähig ist, unterminiert das SSL für alle (!) Webseiten.Ara hat geschrieben: "Versehentlich" ist sehr nett ausgedrückt. Man hat schlicht keine Ahnung was man da tut.
Man verteilt gerade das neue Zertifikat, ohne dass man das Problem behoben hat. Der Private Key vom neuem Zertifikat ist weiterhin auslesbar... Das heißt das neue Zertifikat muss wieder gesperrt werden.
Das Problem lässt sich also nur durch eine konzeptionelle Änderung lösen. Wird sportlich.