Dans un billet de blog, la fondation s'excuse de ce qui s'est passé, certains utilisateurs attendant encore un correctif, notamment ceux qui ont une ancienne version du navigateur.
Le système mis en place pour la protection des extensions va être revu afin d'éviter que la situation ne se reproduise. L'expiration du certificat a en effet éclairé le contrôle de Mozilla sur ces éléments, ce qui peut être un problème.
Dans un second billet plus technique, Eric Rescorla revient sur la mécanique actuellement utilisée pour la signature numérique des extensions et leur diffusion.
Notamment sur la manière dont est généré le certificat intermédiaire, à travers un HSM stocké hors-ligne, auquel l'équipe n'accède que lorsque c'est nécessaire. Il explique également comment les développeurs ont répondu rapidement au problème.
Ainsi, la signature de nouvelles extensions a été stoppée, un premier correctif évitant de demander la validation des extensions pour les utiliser. Tout a été remis en place depuis, un nouveau certificat intermédiaire ayant été généré et diffusé.
Un post-mortem sera publié la semaine prochaine pour évoquer certains points plus en détails, comment les décisions qui vont être prises pour faire évoluer la mécanique de signature des extensions, de mise à jour d'urgence et la liste de toutes les éventuelles « time bomb », dont l'expiration de certificats.
