Giovedì Claudflair ha riconosciuto questo fallimento e ha scritto:
Abbiamo fallito tre volte. La prima volta è perché 1.1.1.1 è una credenziali IP e il nostro sistema non è riuscito ad avvertirle. La seconda volta perché se prendiamo gli avvisi di problemi di certificazione, uno qualsiasi dei nostri clienti può fare, non abbiamo applicato abbastanza filtraggio. Con i semplici nomi e problemi che lo gestiamo, non è stato possibile continuare le recensioni manuali. Infine, a causa di questa osservazione del rumore, non abbiamo potuto abilitare tutti i nostri domini. Stiamo affrontando tre errori.
Alla fine, la colpa rimane con Fina; Tuttavia, fornendo fragilità di TLS PKI, è responsabile per tutte le parti interessate garantire che il sistema venga soddisfatto.
E Microsoft? È un difetto?
Ci sono alcune controversie su questo argomento, come ho imparato rapidamente dai commenti dei social media e del lettore di ARS di mercoledì. I critici della gestione del caso in Microsoft affermano che altri problemi includono anche l’esame dei registri di trasparenza per garantire la protezione del suo programma di certificato originale. I critici hanno affermato che la società avrebbe appreso che FINA non aveva mai emesso un certificato per 1.1.1.1 e per la ricerca della questione.
Inoltre, almeno alcuni certificati erano codifiche non conformi e i nomi di dominio erano elencati con domini di alto livello inesistenti. Questo è il certificatoAd esempio, le ssltes elencate come il nome generale di 5.
Invece, come altre regioni del mondo, Microsoft ha imparato le credenziali da un forum di discussione online.
Ho parlato con alcuni esperti di TLS affermando che l’osservazione ininterrotta per questo tipo di problema non è in nessuna delle principali opportunità di programmi.
In ogni caso, Microsoft afferma di essere in procinto di creare tutti i certificati come parte di un elenco isolato.
Microsoft ha anche affrontato le critiche croniche sul fatto che è molto trasparente nei requisiti imposti al programma di credice CAS nel CAS. In effetti, Microsoft e un’altra entità, il Servizio di fiducia dell’UESolo per impostazione predefinita, Trust Fina. Google, Apple e Mozilla non lo sono.
“La storia qui è inferiore al certificato 1.1.1.1 e perché Microsoft crede in questa CA inimmaginabile”, ha detto un esperto Web/PKI Philippo Valcarda in un’intervista.
Ho chiesto a Microsoft tutto questo e non ancora una risposta.
