Mozilla gibt CAs eine Chance, kommen sauber über Richtlinienverstöße Zertifikat

2013-12-30  |  Comebuy News

Mozilla bittet alle Zertifizierungsstellen (CAs), untergeordneten CA-Zertifikate für SSL-Datenverkehr Unternehmensführung genutzt zu widerrufen bietet eine Amnestie für alle Zertifizierungsstellen, die Mozilla Bedingungen verletzt hatte dafür ihre Wurzel Zertifikate mit seinen Produkten liefern.

Comebuy Verwandte Artikel: Trustwave gesteht Man-in-the-Middle digitales Zertifikat ausstellt, gesteht Mozilla Debatten PunishmentTrustwave Ausgabe von Man-in-the-Middle digitales Zertifikat, Mozilla Debatten PunishmentMozilla, dass alle Zertifizierungsstellen bittet, SSL-Spionage CertificatesKPN Haltestellen SSL-Zertifikate ausstellen, nach möglichen BreachMicrosoft alle DigiNotar-Zertifikate blacklists zu widerrufen

Die Anforderung kommt, nachdem Trustwave vor kurzem in ein privates Unternehmen für den Einsatz in einem Daten-Verlust-Prevention-System ein Sub-CA-Zertifikat ausstellt aufgenommen.

Sub-CA-Schlüssel können verwendet werden, um SSL-Zertifikate für alle Domain-Namen im Internet, zu unterzeichnen, das macht sie sehr gefährlich sein, wenn sie fallen in den falschen Händen.

Obwohl Trustwave argumentiert, dass der betreffende Sub-CA-Schlüssel gespeichert wurde, in einem Hardware-Sicherheitsmodul (HSM), damit unwiederbringlich, die Tatsache, das ein solches leistungsfähiges Zertifikat an eine private Firma ausgestellt wurde, die nicht von einer Zertifizierungsstelle, war darstellt einen Verstoß gegen Mozillas Richtlinien für CAs.

Zertifizierungsstellen halten uns freiwillig an Mozillas CA Certificate Policy um ihre Root-Schlüssel, die standardmäßig in Firefox, Thunderbird und andere Mozilla-Produkte enthalten zu haben.

"Teilnahme an Mozillas Root Programm ist nach unserem eigenen Ermessen, und wir treffen Vorkehrungen sind notwendig, um unsere Nutzer sicher, bis zu und einschließlich der Streichung der Stammzertifikate, die falsch ausgestellt, als auch alle Wurzeln, die Kreuz-, Sign", sagte Johnathan Nightingale, senior Director der Firefox Engineering bei Mozilla, in einem Blog-Post am Freitag.

Denn es gibt Grund zu der Annahme mehrere Zertifizierungsstellen betreiben diese Art von Verhalten, Mozilla hat beschlossen, alle bieten eine einmalige Chance, kommen sauber über es ohne zu riskieren Auswirkungen anstatt ein Exempel an Trustwave, die wahrscheinlich ähnliche Angaben davon abhalten würde.

"Wir glauben, dass Sicherheit am besten gedient ist, wenn Browser und CAs zusammenarbeiten können; Wir hoffen, dass die offene Kommunikation und klare Erwartungen diese Probleme lösen können, bevor eine solche Handlung erforderlich ist,"sagte die Nachtigall.

Mozilla hat seine Amnestie am Freitag in einer e-Mail alle CAs bieten bitten, Sub-CA-Zertifikate für SSL-Man-in-the-Middle-abfangen oder Verkehrsmanagement verwendet zu widerrufen und die entsprechende HSMs zu zerstören.

"Wir die Seriennummern der Zertifikate und Fingerabdrücke von ihren Neuzugang Wurzeln angefordert haben damit wir und andere relying Parties, erkennen und diese SubCA Zertifikate Misstrauen wenn auftreten können," sagte die Nachtigall.

CAs haben bis April 27 diese Anforderungen erfüllen. Wenn solche Zertifikate nach diesem Zeitpunkt gefunden werden, werden den ausstellenden CAs Strafen, einschließlich der Streichung ihrer Root-Schlüssel von Mozilla Produkten zukommen.

In der Theorie bringen solche erzwungene Umzüge die CAs aus dem Geschäft, weil alle Zertifikate, die sie jemals unterschrieben nicht mehr richtig funktionieren würde. Jedoch würde dies nur 100 Prozent wirksam sein, wenn alle Browser- und Betriebssystemherstellern einverstanden, es zu tun.

Es bleibt abzuwarten, wie CAs auf Mozillas Anfragen reagieren soll, zumal sie wahrscheinlich vertragliche Verpflichtungen gegenüber Kunden, die solche Sub-CA-Zertifikate gekauft. Experten sagten zuvor, dass zwei Monate nicht genug für Unternehmen die Inspektionssysteme für SSL-Datenverkehr zu ersetzen, die derzeit Sub-CA-Zertifikate mit etwas anderes verwenden.

« Back