Olvass bele csak az elso 10-15 emailbe a regebbi HUP cikkbol is linkelt email valtasba. Egeszen elkepeszto amiket a WoSign-os csoka valaszolgat a Mozillaeknak, teljesen ugy tunik, vagy ko kemeny profizmussal azt a latszatot keltetik magukrol, hogy egy par szemelyes Ver Istvan Bt. az egesz banda.
Ha jol emlekszem ilyesmik voltak a problemak:
- visszadatumozott certek (gyenge hash-ekkel)
- google.com hamis cert ("csak internal, csak teszt, soha tobbet becs szo")
- StartCom webes rendszere adott ki WoSign-os certeket es viszont egy PUT vagy GET valtozo atirasaval, tehat osszekotottek a felvasarlas utan a rendszereket, kifele meg azt kommunikaltak, hogy semmi fele osszekotes nincs.
- lehetett kerni hamis certeket egy hibat kihasznalva, amikor a hibat jelentettek nekik a bejelentett certjet rendesen revokaltak, de a tobbi hasonlot nem (bejelento direkt csinalt maganak tobb hamis certet, hogy megnezze mit lep a WoSign)
- eloirt auditokban meg a bejelentett/javitott hibaknak sincs nyoma
Ezek utan tort angolsaggal mellebeszel, mismasol, amikor kiderul, hogy nem tud valamit elkenni, akkor ertetlenkedik, masra valaszol. A legszebb amikor a kerdesre, hogy "jo-jo, hogy galadsagokat csinaltatok es mostantol minden mashogy lesz, de miert nem derult ki ez az auditokbol" azt valaszolja, hogy hat nem tudott senki annyira angolul, hogy megertsek a Mozilla CA-kra vonatkozo eloirasait es az auditalo szemely sem igazan ert ehez az egeszhez!
A Mozillas csavonak megneztem volna a fejet, de olyan diplomatikusak maradtak, hogy azonnal le az osszes kalappal.