Mozilla heeft aan een vroege testversie van Firefox een nieuw controle van SSL-certificaten toegevoegd die daarmee het vorige mechanisme vervangt dat jaren werd gebruikt. Ook is er een beloning van 10.000 dollar uitgeloofd voor onderzoekers en hackers die lekken in de controle vinden.
Via de nieuwe certificaatvalidatiebibliotheek kan Firefox de geldigheid van aangeboden SSL-certificaten controleren. Recente beveiligingslekken, zoals Heartbleed en GoToFail, hebben volgens Mozilla aangetoond dat goed werkende code in deze bibliotheken van cruciaal belang is. De nieuwe code zou bijvoorbeeld robuuster en beter beheerbaar dan de huidige code zijn. Zo bestaat de nieuwe versie uit zo'n 4100 regels code, de oude versie telde er meer dan 81.000. Naast de aanpassing van de oude bibliotheek heeft Mozilla de gelegenheid ook aangegrepen om een aantal eisen uit het Mozilla CA certificaatbeleid door te voeren.
Om ervoor te zorgen dat de nu toegevoegde bibliotheek geen kwetsbaarheden bevat voordat die straks naar miljoenen Firefoxgebruikers wordt gestuurd is er een speciaal beloningsprogramma gestart. Het programma zoekt met name naar lekken waardoor het mogelijk is om valse certificaten goedgekeurd te laten krijgen en kwetsbaarheden waardoor het uitvoeren van willekeurige code mogelijk is.
De 10.000 dollar die voor gerapporteerde lekken wordt uitgeloofd is voor Mozilla een hoog bedrag. Standaard looft de ontwikkelaar namelijk 3.000 dollar uit voor gemelde bugs. Wie de nieuwe SSL-controle wil testen kan de Nightly-versie van Firefox 31 downloaden.
Deze posting is gelocked. Reageren is niet meer mogelijk.