اعترف Cloudflare يوم الخميس هذا الفشل ، الكتابة:
فشلنا ثلاث مرات. المرة الأولى لأن 1.1.1.1 هي شهادة IP وفشل نظامنا في التنبيه على هذه. في المرة الثانية لأنه حتى لو كنا نتلقى تنبيهات إصدار الشهادة ، كما يستطيع أي من عملائنا ، فإننا لم ننفذ تصفية كافية. مع العدد الهائل من الأسماء والإصدار الذي نديره ، لم يكن من الممكن لنا مواكبة المراجعات اليدوية. أخيرًا ، بسبب هذه المراقبة الصاخبة ، لم نمكّن التنبيه لجميع مجالاتنا. نحن نخاطب جميع أوجه القصور الثلاثة.
في النهاية ، يكمن الخطأ في FINA ؛ ومع ذلك ، بالنظر إلى هشاشة TLS PKI ، فإنه يتعين على جميع أصحاب المصلحة ضمان تلبية متطلبات النظام.
وماذا عن Microsoft؟ هل هو على خطأ أيضا؟
هناك بعض الجدل حول هذه النقطة ، كما تعلمت بسرعة يوم الأربعاء من وسائل التواصل الاجتماعي وتعليقات قارئ ARS. يقول منتقدو معالجة Microsoft لهذه القضية أنه من بين أمور أخرى ، تتضمن مسؤوليتها عن ضمان أمان برنامج شهادة الجذر الخاصة بها التحقق من سجلات الشفافية. وقال النقاد إن الشركة قد فعلت ذلك ، لكان قد وجدت الشركة أن FINA لم تصدر شهادات مقابل 1.1.1.1 ونظرت في الأمر.
بالإضافة إلى ذلك ، على الأقل ، كان لدى بعض الشهادات أسماء ترميز ومدرسة غير متوافقة مع مجالات غير موجودة من المستوى الأعلى. هذه الشهادة ، على سبيل المثال ، تسرد SSLTest5 كاسم مشترك.
بدلاً من ذلك ، مثل بقية العالم ، علمت Microsoft الشهادات من منتدى مناقشة عبر الإنترنت.
قال بعض خبراء TLS الذين تحدثت إليهم إنه ليس ضمن نطاق برنامج الجذر للقيام بمراقبة مستمرة لهذه الأنواع من المشكلات.
على أي حال ، قالت Microsoft إنها بصدد جعل جميع الشهادات جزءًا من قائمة عدم السماح.
واجهت Microsoft أيضًا انتقادات طويلة الأمد أنها متساهلة للغاية في المتطلبات التي تفرضها على CAS المدرجة في برنامج شهادة الجذر. في الواقع ، فإن Microsoft وواحدة أخرى ، وهي خدمة Trust Eu ، هي الوحيدة التي ، افتراضيًا ، FINA. Google و Apple و Mozilla لا.
وقال فيليبو فالسوردا ، خبير ويب/PKI ، في مقابلة: “القصة هنا أقل من شهادة 1.1.1.1 وأكثر من ذلك السبب في أن Microsoft تثق في هذا CA التي تديرها بلا مبالاة”.
سألت Microsoft عن كل هذا ولم تحصل بعد على رد.
