Certyfikaty SSL pozwalają na podsłuchiwanie ruchu? Mozilla chce weryfikacji i anulowania podejrzanych certyfikatów
- Antoni Steliński,
- 15.02.2012, godz. 10:03
Fundacja Mozilla zamierza poprosić wszystkie urzędy certyfikacyjne o zweryfikowanie działań podległych im wystawców. Celem jest zidentyfikowanie i ewentualne anulowanie wszystkich certyfikatów mogących służyć firmom do analizowania ruchu zabezpieczonego SSL dla domen, których owe firmy nie kontrolują.
Polecamy:
Przedstawiciele organizacji przez blisko tydzień debatowali nad tym, czy Trustwave powinna zostać ukarana za naruszenie zasad CA Certificate Policy - ostatecznie zdecydowano się na rozesłanie do wszystkich urzędów certyfikacyjnych (CA) prośby o zidentyfikowanie i anulowanie certyfikatów, które mogą być wykorzystywane niezgodnie z zasadami.
Zobacz również:
- Mozilla stworzyła nową usługę, która usuwa nasze wrażliwe dane z internetu
- Huawei nadal numerem jeden w rozwoju sieci 5G
"Chcemy wyraźnie dać do zrozumienia, że takie zachowanie nie będzie tolerowane. Wszystkie CA dostaną teraz ostrzeżenie i nieco czasu na dostosowanie się do przepisów - jednak później zamierzamy podejmować zdecydowane działania przeciwko jednostkom łamiącym zasady wykorzystywania certyfikatów" - tłumaczy Kathleen Wilson z Mozilli.
Na razie nie wiadomo, ile dokładnie CA mają czasu na zweryfikowanie i ewentualne anulowanie certyfikatów - Mozilla rozważa dwu- lub trzymiesięczny okres karencji. Po jego upłynięciu każdy, kto będzie posługiwał się certyfikatami w opisany powyżej sposób musi liczyć się z tym, że wszystkie wystawione przez niego certyfikaty trafią na czarną listę Mozilli.
Amichai Shulman, szef działu bezpieczeństwa firmy Imperva, zwraca uwagę, że nawet 3 miesiące to może być zbyt mało - jego zdaniem duże korporacje mogą na wprowadzenie zmian postulowanych przez Mozillę potrzebować będą ok. sześciu miesięcy. "To zdecydowanie ruch w dobrą stronę - organizacja ma rację, zmuszając firmy do zrezygnowania z wykorzystywania certyfikatów do nielegalnych celów. Obawiam się jednak, czy bez wsparcia innych producentów przeglądarek Mozilli uda się wymusić stosowanie dobrych praktyk w zakresie wykorzystywania certyfikatów" - komentuje Shulman.
Specjalista zwraca uwagę, że gdy Firefox zacznie z czasem wyświetlać komunikaty o błędnym certyfikacie SSL (jeśli dojdzie do umieszczenia na czarnej liście danego certyfikatu), a w innych przeglądarkach ten sam certyfikat będzie identyfikowany poprawnie, to wielu użytkowników może dojść do wniosku, że przyczyną problemu jest przeglądarka, a nie certyfikat.