Certyfikaty SSL pozwalają na podsłuchiwanie ruchu? Mozilla chce weryfikacji i anulowania podejrzanych certyfikatów

Fundacja Mozilla zamierza poprosić wszystkie urzędy certyfikacyjne o zweryfikowanie działań podległych im wystawców. Celem jest zidentyfikowanie i ewentualne anulowanie wszystkich certyfikatów mogących służyć firmom do analizowania ruchu zabezpieczonego SSL dla domen, których owe firmy nie kontrolują.

Zapowiedź Mozilli jest reakcją na niedawne oświadczenie firmy Trustwave, która stwierdziła, że wykorzystywanie certyfikatów dla połączeń SSL w ten sposób jest w wielu firmach powszechną praktyką.

Przedstawiciele organizacji przez blisko tydzień debatowali nad tym, czy Trustwave powinna zostać ukarana za naruszenie zasad CA Certificate Policy - ostatecznie zdecydowano się na rozesłanie do wszystkich urzędów certyfikacyjnych (CA) prośby o zidentyfikowanie i anulowanie certyfikatów, które mogą być wykorzystywane niezgodnie z zasadami.

Zobacz również:

  • Firefox 91 robi generalny porządek z ciasteczkami
  • Fortinet ostrzega
  • Będą dwa nowe certyfikaty Windows Server

"Chcemy wyraźnie dać do zrozumienia, że takie zachowanie nie będzie tolerowane. Wszystkie CA dostaną teraz ostrzeżenie i nieco czasu na dostosowanie się do przepisów - jednak później zamierzamy podejmować zdecydowane działania przeciwko jednostkom łamiącym zasady wykorzystywania certyfikatów" - tłumaczy Kathleen Wilson z Mozilli.

Na razie nie wiadomo, ile dokładnie CA mają czasu na zweryfikowanie i ewentualne anulowanie certyfikatów - Mozilla rozważa dwu- lub trzymiesięczny okres karencji. Po jego upłynięciu każdy, kto będzie posługiwał się certyfikatami w opisany powyżej sposób musi liczyć się z tym, że wszystkie wystawione przez niego certyfikaty trafią na czarną listę Mozilli.

Amichai Shulman, szef działu bezpieczeństwa firmy Imperva, zwraca uwagę, że nawet 3 miesiące to może być zbyt mało - jego zdaniem duże korporacje mogą na wprowadzenie zmian postulowanych przez Mozillę potrzebować będą ok. sześciu miesięcy. "To zdecydowanie ruch w dobrą stronę - organizacja ma rację, zmuszając firmy do zrezygnowania z wykorzystywania certyfikatów do nielegalnych celów. Obawiam się jednak, czy bez wsparcia innych producentów przeglądarek Mozilli uda się wymusić stosowanie dobrych praktyk w zakresie wykorzystywania certyfikatów" - komentuje Shulman.

Specjalista zwraca uwagę, że gdy Firefox zacznie z czasem wyświetlać komunikaty o błędnym certyfikacie SSL (jeśli dojdzie do umieszczenia na czarnej liście danego certyfikatu), a w innych przeglądarkach ten sam certyfikat będzie identyfikowany poprawnie, to wielu użytkowników może dojść do wniosku, że przyczyną problemu jest przeglądarka, a nie certyfikat.


TOP 200