Sucede de vez en cuando: alguna organización que vende certificados SSL de confianza pública hace algo monumentalmente estúpido, como generar, almacenar y luego divulgar intencionalmente todas las claves privadas de sus clientes (Trustico), permitiendo que las claves privadas sean robadas a través de XSS (ZeroSSL) , o más recientemente, explotando literalmente la ejecución remota de código en clientes ACME como parte de su proceso de emisión (HiCA, también conocido como QuantumCA).
Comentarios
Consejo: cuando alguien os pida vuestro certificado para hacer una autenticación con el mismo, no enviéis todo el puñetero ".pfx" o ".p12" con la contraseña, que estáis enviando vuestra parte privada del certificado, y encima seréis tan ilusos de enviarle la contraseña tanto del contenedor como de la parte privada. Lo que tenéis que hacer es mandar la CA y/o la CA intermedia firmantes de vuestro certificado, o si no la parte pública de vuestro certificado que se extrae del pfx/p12 y que es el famoso .cer, y que si lo guardáis en formato texto (no binario) veréis empezar en la parte superior del archivo así
-----BEGIN CERTIFICATE-----
No enviéis NUNCA el que empiece con un
-----BEGIN PRIVATE KEY-----
De nada por el briconsejo sobre PKI (Public Key Infraestructure)
Joder, ACME!!!
https://www.hermanotemblon.com/wp-images/coyote-y-correcaminos-acme.jpg