@cluc-cluc: dank voor jouw onderzoek en bijdragen! Ik heb tussendoor ook gekeken en kan jouw bevindingen bevestigen.
Aanvankelijk kreeg ik een "gebroken slotje" (mixed content, dus zowel http als https op support2.microsoft.com) maar dat is ondertussen ook opgelost. Ik heb de "Oops" niet meer kunnen reproduceren.
Als je
https://support.microsoft.com/kb/2977629 opent (23.102.36.254) wordt de belangrijkste content vanaf support2.microsoft.com (157.56.121.115) opgehaald (dus een iets ander IP-adres dan waar eerder deze week de problemen optraden, nl. 157.56.121.21).
Gezien de wijzigingen in Microsoft's CDN (Content Delivery Network) infrastructuur lijken de problemen opgelost enlaat ik dit onderwerp voorlopig rusten. Nogmaals dank aan allen die hebben meegedacht, ik vond het in elk geval leerzaam!
Off-topic, maar wat opvalt: van support2.microsoft.com krijg ik een SHA-2 certificaat, terwijl er onder water met verschillende andere sites verbinding gemaakt wordt die nog SHA1 certificaten gebruiken.
Een bijzonder griezelig SHA1 certificaat krijg je van
https://ajax.aspnetcdn.com/ (68.232.34.200). Het subject daarvan is "*.vo.msecnd.net", maar het ondersteunt ook de volgende alternate names:
DNS Name=*.microsoft.com
DNS Name=*.msn-int.com
DNS Name=*.msn.com
DNS Name=*.live-int.com
DNS Name=*.windowsphone-int.com
DNS Name=*.windowsphone.com
DNS Name=*.cmsresources.windowsphone-int.com
DNS Name=*.marketplace.windowsmobile-int.com
DNS Name=*.wlxrs-int.com
DNS Name=*.shared.live-int.com
DNS Name=*.shared.live.com
DNS Name=*.wlxrs.com
DNS Name=*.cdn.office.net
DNS Name=*.ads2.msads.net
DNS Name=*.aspnetcdn.com
DNS Name=*.c3scs.jp.msn.com
DNS Name=*.cmsresources.windowsphone.com
DNS Name=*.f1ds.shared.live-int.com
DNS Name=*.f1ds.wlxrs-int.com
DNS Name=*.jp.msn.com
DNS Name=*.live-int.net
DNS Name=*.live.com
DNS Name=*.live.net
DNS Name=*.manage.microsoft.com
DNS Name=*.marketplace.windowsmobile-perf.com
DNS Name=*.marketplace.windowsmobile.com
DNS Name=*.microsoft-sbs-domains.com
DNS Name=*.msads.net
DNS Name=*.partner-df.windowsphone-int.com
DNS Name=*.partners.msn.com
DNS Name=*.s-msn.com
DNS Name=*.st.s-msn.com
DNS Name=*.stb.s-msn.com
DNS Name=*.stc.s-msn.com
DNS Name=*.stj.s-msn.com
DNS Name=*.wlxrsu-int.com
DNS Name=images.partner.windowsphone-int.com
DNS Name=images.partner.windowsphone.com
DNS Name=*.dev.skype.com
DNS Name=*.ucwa.lync.com
DNS Name=*.vo.msecnd.net
DNS Name=*.s.windows.microsoft.com
DNS Name=*.azureedge.net
DNS Name=*.wpc.azureedge.net
DNS Name=*.wac.azureedge.net
DNS Name=*.adn.azureedge.net
DNS Name=*.fms.azureedge.net
DNS Name=*.azurecomcdn.net
DNS Name=*.cdn.skype.net
DNS Name=*.cdn.skype.com
DNS Name=*.msdn.com
Als je SHA1 kunt kraken, d.w.z. de public key in dit certificaat kunt vervangen door een zelf gegenereerde en dit met andere wijzigingen in het certificaat combineert zodanig dat de SHA1sum over het certificaat
niet wijzigt (de handtekening dus hetzelfde kan blijven), heb je in potentie een groot deel van Microsoft's infrastructuur ondermijnd.
Nb. dit certificaat en bijbehorende private key zijn waarschijnlijk in het bezit van de eigenaar van IP-adres 68.232.34.200, EdgeCast Networks, Inc. wat betekent dat ook andere dan Microsoft medewerkers hier mogelijk bij kunnen.