Mozilla vyzvala k dobrovolnému zrušení oslabených certifikátů

21. 2. 2012

Sdílet

 Autor: © Joerg Habermeier - Fotolia.com
Společnost požádala všechny certifikační autority (CA), aby odvolaly své podřízené certifikáty používané v současné době pro zabezpečení firemní komunikace pomocí SSL.

S požadavkem přichází Mozilla poté, co společnost Trustwave přiznala, že dala své podřízené certifikáty k dispozici soukromé společnosti, které je chtěla využít pro svůj systém na ochranu před ztrátou dat. Takové klíče přitom mohou být použity k podpisu SSL certifikátů pro jakékoliv doménové jméno na internetu a je proto zcela nežádoucí, aby se klíče dostaly do špatných rukou.


Ačkoliv Trustwave tvrdí, že klíče byly uloženy v hardwarovém bezpečnostním modulu, již samotná skutečnost, že takto silný certifikát získala soukromá společnost, která není certifikační autoritou, je hrubým porušením pravidel Mozilly. CA dobrovolně tato pravidla dodržují, aby mohly mít své kořenové klíče ve výchozí konfiguraci Firefoxu, Thunderbirdu a dalších produktech Mozilly.

bitcoin_skoleni


„Účast na kořenovém programu Mozilly je zcela pod naší kontrolou a učiníme jakékoliv kroky, abychom ochránili naše uživatele, včetně úplného odstranění kořenových certifikátů,“ řekl Johnathan Nightingale z Mozilly. Společnost se domnívá, že do celého případu je zapojeno více CA než jen Trustwave. Rozhodla se jim proto dát ještě jednu šanci na zjednání nápravy. V opačném případě je čeká nemilosrdné vymazání ze seznamu kořenových certifikátů v produktech Mozilly.


Mozilla svou nabídku poslala všem certifikačním autoritám prostřednictvím emailové zprávy. Kromě odvolání „vyzrazených“ certifikátů po nich žádá také zničení odpovídajících hardwarových bezpečnostních modulů. CA mají navíc Mozille zaslat všechny informace o odvolaných certifikátech, aby se tak předešlo budoucím problémům. Čas na to mají do 27. dubna tohoto roku.