Az első ticket arról szólt hogy van egy rendszerük amely egy full statikus oldalt szolgál ki egy valid tanúsítvánnyal tesztelési célból (hogy más tudjon tesztelni), ami éppen egy adott időpillanatban nem volt valid. Miért nem volt? Mert a teszt endpointra nem futott le a monitoring mert éppen átkonfigurálták a rendszert ("No automated alerting or expiration monitoring system was in place for the test endpoint while the configuration was ongoing."). Oké, nem szép, de nem is érzem tragikusnak.
Intermediate tanúsítvány kiadása: azt ugye alá kell irni egy root certtel. Az tudod hol van minden CA-ban? Kb. egy széfben tárolva. Ez nem a normál folyamat ahol kiadnak egy tanúsítványt (amit napjában sok százszor megtesznek) hanem egy ritka folyamat és ahogy a ritkán futtatott folyamatoknál előfordul, hiba történt ("Due to an administrative error the intermediate CAs were interchanged and referred to a wrong root and cert.sh showed these intermediate CAs undisclosed."). Nem jó, de javították, meg a folyamatot is.
Weekly update nem történt meg: pont azt irják le hogy ez elvileg valakinek a feladata lett volna de a kevésbé sikeres folyamatok miatt ez nem történt meg, és ezen is javítottak.
Kizárólag az ő tanúsítványuk számít államilag elismertnek: ez azért érdekes mert az EU-s szabályozás alapján ez baromira nem igy van.
Cserébe mocskosul drágák: az első kommentben irja mauzi hogy annyira drágák hogy a nyugati cég ezt 6-10x annyiért adja. Igen, egy CA működtetése drága.
Egyébként van itt még érdekesebb történet: https://bugzilla.mozilla.org/show_bug.cgi?id=1947691 ahol ahogy értelmezem a különböző szabályozások egymást ütik. Hát, nem lennék a helyükben.
Ebből mi következik? Az hogy egy CA működtetése baromira nem egyszerű, nem triviális, és nem a technikai részről (jó, az se egyszerű) hanem az elképesztően szigorú szabályozás és komplex folyamatok miatt. A gittegyleteket most nem is említem.