Certifikáty není nutné přegenerovat vždy, ale jenom tehdy, pokud byl privátní klíč v paměti procesu se chybovým OpenSSL a zároveň hrozí nebezpečí, že by se útočník k privátnímu klíči dostal v době, kdy server ještě nebyl záplatovaný.
Těch 7 % certifikátů bylo naopak vytvořeno s původním privátním klíčem (takže je nový certifikát k ničemu). Tak, jak je to napsané ve zprávičce, je to nesmysl.
Vědět, jestli má privátní klíč v procesu webového serveru, v samostatném procesu nebo na samostatném hardwarovém zařízení (HSM, čipová karta) by snad správce mohl. Taky ví, jak dlouho po zveřejnění chyby server zazáplatoval a jak zajímavý je jeho server, takže dokáže odhadnout pravděpodobnost, že někdo ukradl privátní klíč zrovna z jeho serveru.
Pokud předpokládáte, že tu chybu někdo znal a zneužil už před jejím zveřejněním, měl byste předpokládat, že dnes zná nějakou další podobnou chybu. A také byste neměl řešit jen privátní klíč serveru, ale všechny další údaje, ke kterým se útočník mohl dostat – osobní údaje, hesla, e-mailové adresy, čísla platebních karet…