Mozilla發布了多份動作后報告，分析了5月份的主要混亂情況，這些報道削弱了大多數Firefox附加組件。報告還提出了防止今后類似事件的建議。

5月3日星期五東部時間晚上8點后開始慘敗，當時用于數字簽名Firefox擴展的證書已過期。由于Mozilla忽略了更新證書，因此Firefox認為附加組件無法被信任 - 它們可能是惡意的 - 并且已禁用已安裝的任何附加組件。出于同樣的原因，無法將加載項添加到瀏覽器中。

Mozilla通過其研究系統，通常負責將測試代碼推送到小組或收集有關贊助內容的反應數據的基礎設施，對瀏覽器進行了一次臨時修復。由于研究方法沒有達到每個人，在5月5日和5月7日，Mozilla發布了兩個Firefox更新--66.0.4和66.0.5--解決了證書問題。

每個人都提出的第一個問題是，”你是怎么讓這種情況發生的?'“Firefox的首席技術官Eric Rescorla在公司博客的一篇文章中寫道。”在高層次上，故事似乎很簡單：我們讓證書過期。這似乎是一個簡單的計劃失敗。“

然而，Rescorla對這種特征提出了異議。他說，情況“比這更復雜”，他說負責團隊知道證書即將到期但是假設瀏覽器會忽略到期日期，因為在之前的事件中，證書檢查已被禁用。“這導致了對中間證書檢查狀態的混淆。此外，Firefox QA計劃沒有包含證書過期測試，??因此沒有檢測到問題。這似乎是我們測試計劃中的一個基本疏忽。”

其他人則在不同的角度分別報道危機，包括事故報告和技術報告。

后者分別由主要軟件工程師兼高級工程師Peter Saint-Andre和Matthew Miller撰寫，得出了類似的結論。“這一事件不是任何個人或團隊的錯，而是由于所有相關團隊都沒有很好地理解一套互鎖的復雜系統，”兩人寫道。

Saint-Andre和Miller報告中的細節包括Mozilla將其QA(質量保證)測試外包給Cognizant Softvision，Cognizant Softvision是一家跨國公司，辦事處分散在和烏克蘭，羅馬尼亞和“內部缺乏”或者隨叫隨到的質量保證資源導致在各種平臺上測試提議修復的延遲，因為Softvision的外部團隊無法通過正常渠道立即獲得，“圣安德烈和米勒說。“事實上，與個人Softvision團隊成員合作可能會引入法律上的復雜情況和數據泄漏的可能性。”

雖然Rescorla 在附加中斷后不久在一篇博客文章中詳細說明了Mozilla的一些失敗，但他已經承諾了一份推薦的更改列表，以便后來發布。他7月12日的帖子以及圣安德烈和米勒7月2日的報道都很好地履行了這一承諾。

建議之一：快速響應修補程序交付機制，可以推動Firefox用戶的緊急更新。

5月，Mozilla迅速為桌面版Firefox創建了一個臨時修復程序，并使用Studies系統將修補程序推送到瀏覽器。Mozilla轉向研究盡快部署修補程序，而不是讓用戶等待完整的瀏覽器更新。然而有些人報告說他們沒有收到修補程序，或者沒有啟用Firefox的附加組件。如果用戶已經禁用了研究，可能出于隱私原因(默認情況下啟用該機制)，例如，他們就不會獲得補丁。

“這里的教訓是，我們需要一種機制，允許快速更新，而不是遙測和研究，”Rescorla說。“我們想要的屬性是能夠為任何啟用了自動更新的用戶快速部署更新。這是我們的工程師已經在開發的工作。”

圣安德烈和米勒呼應Rescorla，但也詳細討論了Firefox附加組件的加密簽名。

“從根本上說，完整的Firefox團隊對Firefox附加組件的加密簽名的角色，功能和操作沒有共同的理解，”他們寫道。“盡管有幾個很好的理由來簽署附加組件(監控未在AMO上托管的附加組件，阻止惡意加載項，通過將附加組件鏈接到Mozilla根目錄來提供加密保證)，但對于基礎知識沒有共識這樣做的理由。此外，維護完整的公鑰基礎設施(PKI)是一項復雜的任務，我們不一定能夠牢牢掌握所涉及的工程和業務權衡。“

他們建議生成更完整的文檔，以便每個人都知道附加組件的簽名是如何工作的，并且假設Mozilla致力于當前的附加簽名方法，那么“我們的證書管理流程，特別是我們的密鑰翻轉策略”將得到改進。