Mozilla heeft Certificate Authorities een deadline gegeven om te stoppen met het uitgeven van spionage-certificaten, anders worden ze voor altijd uit Firefox verbannen. Certificate Authorities (CA) geven SSL-certificaten uit waarmee websites zich tegenover hun bezoekers kunnen identificeren en het internetverkeer kunnen versleutelen. SSL-certificaten mogen alleen worden uitgegeven aan de eigenaar van de website. Onlangs bekende CA Trustwave dat het een certificaat had uitgegeven aan een bedrijf, dat met dit certificaat zich als andere websites kon voordoen.

Woensdag publiceerde Mozilla al een voorstel dat het naar CA's wilde sturen. Dat voorstel is nu naar alle SSL-uitgevers gestuurd. Daarin maakt de browserontwikkelaar duidelijk dat het niet meer de uitgifte van SSL-certificaten voor het uitvoeren van man-in-the-middle-aanvallen accepteert, ook al vinden die in een gesloten netwerk plaats.

Doodstraf
Tevens zijn er verschillende eisen gesteld. Zo moeten alle 'spionagecertificaten' worden ingetrokken en de hardware security modules (HSM) waarin ze gebruikt zijn, worden vernietigd. De HSM is een cryptoprocessor die digitale sleutels beheert. Het gaat om een fysiek apparaat in de vorm van een insteekkaart of extern apparaat dat op een computer is aan te sluiten. Verder wil Mozilla de serienummers en vingerafdrukken van de uitgegeven spionagecertificaten en 'signing roots', zodat het die op de zwarte lijst kan zetten.

Mozilla topman Johnathan Nightingale merkt op dat de ontwikkelaar alles zal doen om gebruikers te beschermen. Die bescherming wordt beter bij een goede samenwerking tussen browserontwikkelaars en Certificate Authorities. CA's die echter niet voor 27 april van dit jaar aan het verzoek van Mozilla voldoen, krijgen net als DigiNotar een 'internetdoodstraf'.