Cloudflare在周四认识到这一失败,写道:
我们已经失败了三遍。第一次是因为1.1.1.1是IP证书,我们的系统未能提醒它们。第二次,因为即使我们必须接收证书排放警报,就像我们的任何客户一样,我们都没有实施足够的过滤。有了我们管理的大量名称和排放,我们不可能遵循手动意见。最后,由于这种嘈杂的监视,我们不允许提醒我们所有领域。我们接近三个差距。
最后,错误在于鳍。但是,鉴于TLS PKI的脆弱性,所有利益相关者有责任确保尊重系统要求。
那微软呢?这也有错吗?
在这一点上存在一定的争议,因为我在星期三对社交网络和ARS的评论很快就学会了。微软对此案处理的批评者表明,除其他外,其责任保证其根证书计划的安全性包括对透明报纸的验证。批评说,如果他这样做,该公司会发现决赛从未送出1.1.1.1的证书,稍后进行了检查。
此外,至少某些证书具有不存在高级别域的非编码和列出的域名。例如,此证书将SSLTEST5列为通用名称。
相反,像世界其他地方一样,微软学习了在线讨论论坛的证书。
我与TLS交谈的一些专家说,在根计划的背景下,对这些类型的问题进行持续监控并不是在否则。
无论如何,微软表示,他将所有证书都列入禁令名单。
微软还面临着长期存在的批评,即在其根证书计划中包含的情况下,它在要求的情况下太宽容了。实际上,微软和另一个实体是欧盟信心服务,默认情况下是唯一的信任信托鳍。 Google,Apple和Mozilla没有。
Web / PKI专家Filippo Valsorda在接受采访时说:“历史上的历史少是1.1.1.1的证书,也是Microsoft信任此CA而毫无疑问的原因。”
我对Microsoft询问了这个主题,但尚未收到答案。