У четвер компанія Cloudflare визнала свої помилки, зазначивши:
Ми втратили три рази. Перший раз тому, що 1.1.1.1 — це IP-сертифікат, і наша система не змогла вчасно повідомити про це. Другий раз, навіть якщо б ми отримали сповіщення про видачу сертифікатів, як можуть робити наші клієнти, ми не реалізували достатнє фільтрування. Через велику кількість назв і видач ми не змогли забезпечити адекватний рівень ручного контролю. І нарешті, через чисельні сповіщення ми не ввімкнули алерти для всіх наших доменів. Ми працюємо над усуненням всіх трьох недоліків.
Зрештою, відповідальність лежить на Fina; проте, враховуючи крихкість TLS PKI, всі зацікавлені сторони повинні забезпечити дотримання системних вимог.
А як щодо Microsoft? Чи є у неї провина?
На цю тему виникли суперечки, про що я швидко дізнався у середу з коментарів у соцмережах та на сайті Ars. Критики дій Microsoft у цій справі стверджують, що її відповідальність за забезпечення безпеки програми кореневих сертифікатів включає перевірку журналів прозорості. Якби компанія це зробила, то дізналася б, що Fina ніколи не видавала сертифікати для 1.1.1.1 та детальніше вивчила б цю справу.
Крім того, деякі сертифікати мали некоректне кодування та містили доменні імена з неіснуючими доменами верхнього рівня. Цей сертифікат, наприклад, вказує ssltest5 як його загальне ім’я.
Натомість, як і решта світу, Microsoft дізналася про сертифікати з онлайн-дискусійного форуму.
Деякі експерти в галузі TLS, з якими я спілкувався, відзначили, що постійний моніторинг подібних проблем не входить до обов’язків програми кореневих сертифікатів.
У будь-якому випадку, Microsoft заявила, що розпочала процес включення всіх сертифікатів до списку заборонених.
Також Microsoft піддавалася тривалій критиці за занадто м’які вимоги, які вона висуває до ЦС, включених у свою програму кореневих сертифікатів. Насправді, лише Microsoft та одна інша організація — EU Trust Service — за замовчуванням довіряють Fina. Google, Apple і Mozilla цього не роблять.
“Суть справи полягає не стільки в сертифікаті 1.1.1.1, скільки в тому, чому Microsoft довіряє такій недбало керованій ЦС,” — зазначив у інтерв’ю експерт з Web/PKI Філіппо Вальсарда.
Я звернувся до Microsoft з усіма цими запитаннями і поки що не отримав відповіді.