听起来您的问题是这个漏洞比您知道的要大得多。

如此处所述的负责任披露规则规定，您应联系供应商并协商一段时间 - 1 周到 6 个月，具体取决于所需更改的深度 - 他们可以在其中实施补丁、撤销和在公开调查结果之前，重新颁发证书、发布安全公告等。这样做的目的是，在谈判期结束时，你会得到公众的认可，但你的上市不会再造成任何伤害——如果供应商做得好的话。

如果弄清楚如何联系他们/协商一个负责任的披露期，最后公开你的结果等等，对你来说太大了，或者你不知道如何开始，那么我建议你联系并合作知名安全研究员，已建立发表渠道。找一个已经发布过类似漏洞的大牌，给他们打电话！听起来你不会有任何问题引起他们的注意。

也恭喜！我期待在 6 个月后在纸上看到你的名字！

这种说法通常是相当严重的。

虽然联系有问题的供应商是一件负责任的事情，但您当然应该考虑通知相关的根存储安全团队，因为他们负责设计、评估和应用安全控制以防止这种情况发生，并且可能需要直接工作与 CA 确定问题。

在负责任的披露方面，您还应该立即向每个主要的根存储运营商报告：谷歌、微软、苹果、Mozilla。只要搜索“ <vendor>report security bug”，第一个结果就会告诉你。这些只是受影响的一些供应商——例如，不仅仅是 CA。

如果您不确定如何执行此操作、希望保持匿名或需要协助协调，Chromium 安全团队很乐意进行调查、联系适当的 CA 并与更广泛的行业进行协调。有关详细信息，请参阅https://www.chromium.org/Home/chromium-security/reporting-security-bugs。

恭喜！听起来像是一个重大发现。

首先，生成一些证据。github.com SSL 证书听起来是一个很好的开始。确保保留所有需要的网络跟踪，以准确显示发生了什么。

您需要确定在执行此操作时是否违反了任何法律或 T&C。如果 CA 没有漏洞赏金，你几乎肯定有。在这种情况下，保持匿名对您来说很重要。这里的一个问题是您可能已经在测试期间透露了您的身份。例如，您可能必须为该证书付费；你是怎么付款的？如果您已经以非匿名方式违反了法律，那么这几乎可以排除任何针对 CA 的强硬策略。

虽然您想联系 CA 是值得称赞的，但请记住，您确实有可能出售此漏洞。这可能价值100,000 美元，来自像 vupen 这样的组织。取决于您对此的感受。

如果您确实想披露，您可以自己进行，但我同意迈克的建议，即与知名研究人员联系。我认为你的目标可以比大学研究员高一点。像 Bruce Schnier 或 Dan Kaminsky 这样的名人会对此感兴趣。你必须相信他们的细节，并利用他们的力量来认真对待这个问题。

关于 CloudFlare 获得 HeartBleed 的早期视图，这是主要漏洞的标准做法 - 关键提供商获得早期警告。但这在过程中要晚得多。在 HeartBleed 的情况下，补丁已经开发（但未公开发布）之后。我不确定这将如何应用于此漏洞。现在看来，CA 颁发的每一个证书都是可疑的。

无论你选择做什么，祝你好运！

如果不确定，您也可以联系 CERT： https ://forms.cert.org/VulReport/

他们在处理甚至非常严重的安全漏洞方面都有经验，并且通常被认为是受信任的一方。至少他们可以确认您对漏洞的评估是正确的，并记录您在发现它的过程中所扮演的角色。

虽然 CERT 通常建议您自己联系供应商，但对于像这样的大案子，我相信他们会提供帮助。