Barrapunto

Claro. Por que si quieres ayudar a la NSA lo mejor es hacerlo con un error estúpidamente obvio en un pedazo de código distribuído con una licencia libre que es de público acceso. Es obvio, debe ser conspiración.

Es un fallo lo suficientemente tonto como para no verificar el certificado, pero no lo suficientemente tonto como para dar error si el certificado no está firmado...

Puede que "esté cogido con pinzas" porque la gente espera cosas más sofisticadas de una orgazación como la NSA, pero la simpleza de un error sea tal como para permitir ataques MITM no evita hacerse una serie de preguntas que nunca se podrán responder.

- El error es sutil, dentro de un bloque de código donde hay más código similar, lo suficiente como para que no "cante" a simple vista si no lo buscas explícitamente, no estúpidamente obvio.
- Es fácilmente asociable a un error "tonto". No requiere pensar que se ha hecho a propósito.
- ¿Distribuido con licencia libre? ¿De público acceso? ¿Seguro que te has leído la noticia antes de comentar?

No sé si es obvio que se trate de una conspiración, pero a Bruce Schneier le parece plausible [schneier.com].