CloudFlare ceturtdien atzina šo neveiksmi, rakstot:
Mums neizdevās trīs reizes. Pirmo reizi tāpēc, ka 1.1.1.1 ir IP sertifikāts, un mūsu sistēma par tiem neizdevās brīdināt. Otro reizi tāpēc, ka pat tad, ja mēs saņemtu sertifikātu izsniegšanas brīdinājumus, kā to var veikt kāds no mūsu klientiem, mēs neīstenojām pietiekamu filtrēšanu. Izmantojot milzīgo vārdu un emisiju skaitu, ko mēs pārvaldām, mums nav bijis iespējams sekot manuālajām atsauksmēm. Visbeidzot, šīs trokšņainā uzraudzības dēļ mēs neļāvāmies brīdināt visus mūsu domēnus. Mēs risinām visus trīs trūkumus.
Galu galā vaina ir Fina; Tomēr, ņemot vērā TLS PKI trauslumu, tas ir pienākums visām ieinteresētajām personām, lai nodrošinātu sistēmas prasību izpildi.
Un kā ar Microsoft? Vai tas ir arī vainīgs?
Šajā jautājumā ir daži strīdi, jo trešdien ātri uzzināju no sociālo mediju un ARS lasītāja komentāriem. Kritiķi par Microsoft apstrādi šo lietu saka, ka cita starpā tā atbildība par saknes sertifikātu programmas drošības nodrošināšanu ietver caurspīdīguma žurnālu pārbaudi. Ja tas būtu to izdarījis, kritiķi sacīja, ka uzņēmums būtu secinājis, ka Fina nekad nav izdevusi sertifikātus par 1.1.1.1. Un ieskatījies tālāk šajā jautājumā.
Turklāt vismaz dažiem sertifikātiem bija neatbilstoša kodēšana un uzskaitīti domēna vārdi ar neeksistējošiem augstākā līmeņa domēniem. Šis sertifikātspiemēram, SSLTest5 uzskaita kā parasto vārdu.
Tā vietā, tāpat kā pārējā pasaule, Microsoft uzzināja par sertifikātiem no tiešsaistes diskusiju foruma.
Daži TLS eksperti, ar kuriem es runāju, teica, ka tas nav sakņu programmas ietvaros, lai nepārtraukti uzraudzītu šāda veida problēmu.
Jebkurā gadījumā Microsoft sacīja, ka tas visu sertifikātu padarīšanu par daļu no DILLOW saraksta.
Microsoft ir saskāries arī ar ilgstošu kritiku, ka tā ir pārāk saudzīga prasībās, ko tā uzliek CAS, kas iekļauta tās saknes sertifikātu programmā. Faktiski Microsoft un viena cita vienība, ES uzticības dienestsir vienīgie, kas pēc noklusējuma uzticas Fina. Google, Apple un Mozilla to nedara.
“Stāsts šeit ir mazāks 1.1.1.1 sertifikāts un vairāk, kāpēc Microsoft uzticas šim neuzmanīgi darbotajam CA,” intervijā sacīja Web/PKI eksperts Filippo Valsorda.
Es jautāju Microsoft par visu to, un man vēl nav jāsaņem atbilde.
