Microsoft ha comunicato di aver inavvertitamente divulgato la chiave privata del certificato wildcard *.xboxlive.com
Il certificato può essere utilizzato per validare connessioni TLS, ma non può essere utilizzato per firmare altri certificati o firmare dei programmi, quindi il rischio è limitato alla validità dei certificati di tutti gli host di xboxlive.com
È, quindi, necessario prestare particolare attenzione ai siti del dominio xboxlive.com che presentano un certificato apparentemente valido e firmato da Microsoft.
I computer con Windows 8 o superiore e Windows Server 2012 o superiore che sono collegati a Internet hanno attivo per default un sistema di aggiornamento della validità dei certificati e dovrebbero già aver ricevuto l’annullamento del certificato.
I computer con le versioni precedenti di Windows hanno ricevuto automaticamente l’annullamento del certificato se hanno installato il programma di aggiornamento della validità dei certificati.
Il certificato compromesso è stato emesso da Microsoft IT SSL SHA2 e ha l’impronta 8b 2e 65 a5 da 17 fc cc bc de 7e f8 7b 0c 0e d5 d0 70 1f 9f