Pont ez a lényeg, hogy azt nem kellett autholniuk, hanem egy másikat.
És rosszul emlékeztem, nem a reportban, hanem a wikiben volt:
https://wiki.mozilla.org/CA:WoSign_Issues
Issue N: Additional Domain Errors (June 2015)
Bug N1 was an issue where someone proving control of .example.tld also was given a cert covering example.tld.
Bug N2 was an issue where arbitrary domains can be added to an existing request after validation.
The reporter proved that there was a problem in two ways. They accidentally discovered that there was a problem when trying to get a certificate for med.ucf.edu and mistakenly also applied for www.ucf.edu, which was approved. They then used their control of schrauger.github.com/schrauger.github.io to get a cert for github.com, github.io, and www.github.io. They also obtained another github cert using a different subdomain of github.io. These are both, in fact, instances of bug N2.
Szerk.: ill. a másik része... pár éve találkoztam egy előadással, hogy mennyire ótvar az X509 és mi minden szutykot lehet belepatkolni a csr-be, amire garantáltan nem figyelnek a CA-k és hogy hány nagyon komoly CA-tól lehet egy kicsit kreatívabb csrral gyakorlatilag akármire certet szerezni...
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)