image

Mozilla polst CA's over naderende deadline SSL-regels

woensdag 14 mei 2014, 15:48 door Redactie, 3 reacties

Mozilla heeft de uitgevers van SSL-certificaten, de zogeheten Certificate Authorities (CA's), details gevraagd over hun voortgang betreffende de nieuwe SSL-regels die straks gaan gelden. Om het vertrouwen in SSL-certificaten te behouden en sneller in het geval van incidenten te kunnen reageren kondigde Mozilla vorig jaar nieuwe regels aan.

Problemen met verkeerd, ten onrechte of frauduleus gegenereerde SSL-certificaten, zoals in het geval van DigiNotar, hebben grote gevolgen voor internetgebruikers en online diensten. SSL-certificaten worden voor verschillende zaken gebruikt, waaronder het versleutelen van verkeer tussen gebruiker en bezochte website en het identificeren van websites en mailservers.

De nieuwe richtlijnen zijn met name voor subordinate CA's bedoeld. Dit zijn certificate authorities die door de root CA zijn geautoriseerd om certificaten aan andere certificate authorities, gebruikers of computers te verstrekken. Ze bevinden zich dan ook een niveau lager dan de root CA.

Actiepunten

In totaal zijn er vijf actiepunten die CA's moeten uitvoeren. Ze moeten onder andere een link naar de audit van de Baseline Vereisten opsturen, Mozilla's nieuwe Certificaat Verificatiebibliotheek testen en ervoor zorgen dat nieuw uitgegeven certificaten vrij van een aantal bekende problemen zijn.

Mozilla heeft CA's tot 30 mei de tijd gegeven om op het verzoek tot informatie van Mozilla te reageren. Antwoorden zullen op deze pagina worden gepubliceerd. CA's die zich niet aan de regels houden kunnen uit Firefox en andere Mozilla programma's verwijderd worden. In dat geval krijgen gebruikers een waarschuwing te zien als ze de SSL-certificaten van de betreffende CA tegenkomen.

Reacties (3)
14-05-2014, 21:47 door Anoniem
Ik weet niet zeker of Mozilla, met weliswaar een aanzienlijk maar niet alleenheersend aandeel in de browser markt wel de aangewezen instantie is om hierover bindende eisen te gaan stellen. Het lijkt me dat de koppen van Google en Microsoft hier ook bij gehaald moeten worden.
14-05-2014, 22:06 door Anoniem
Door Anoniem: Ik weet niet zeker of Mozilla, met weliswaar een aanzienlijk maar niet alleenheersend aandeel in de browser markt wel de aangewezen instantie is om hierover bindende eisen te gaan stellen. Het lijkt me dat de koppen van Google en Microsoft hier ook bij gehaald moeten worden.

De lijst die Mozilla uitgeeft wordt niet alleen in hun browser gebruikt. Het is bijvoorbeeld ook (de basis voor) de lijst in Debian.
14-05-2014, 23:13 door Anoniem
De betreffende partijen, inlc. mozilla, google en microsoft e.a. zijn verenigd in het CA Browser Forum. Zij leggen ook regels op aan CA's, waaronder het aantoonbaar voldoen aan de Baseline Requirements en Network Security Requirements. Overigens is een aantal CA's ook vertegenwoordigd in dit CABForum.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.