Net als Google heeft Mozilla besloten om maatregelen tegen de Chinese certificaatautoriteit CNNIC te nemen, waarbij Firefox voortaan nieuwe certificaten van het Chinese bedrijf zal blokkeren. Oudere certificaten van CNNIC zal de browser nog wel gewoon accepteren. De Chinese certificaatautoriteit moet echter wel een lijst aan Mozilla overhandigen van SSL-certificaten die voor 1 april van dit jaar zijn uitgegeven.
Daarbij zal CNNIC grondig te werk moeten gaan. "Als een certificaat met een datum van voor 1 april 2015 niet op de lijst staat en op het publieke internet wordt aangetroffen, hebben we het recht om verdere maatregelen te nemen", zo waarschuwt Mozilla. Aanleiding voor de actie tegen CNNIC is de ontdekking van verschillende malafide SSL-certificaten voor Google-websites die door het Egyptische bedrijf MCS Holding waren aangemaakt.
MCS Holding had hiervoor een intermediate certificaat van CNNIC gekregen waarmee het bedrijf voor willekeurige domeinen SSL-certificaten kon aanmaken. Omdat het intermediate certificaat van CNNIC afkomstig was, een root certificaatautoriteit die door alle grote browsers wordt vertrouwd, werden deze aangemaakte SSL-certificaten ook door de browsers geaccepteerd. De certificaten zouden vervolgens kunnen worden gebruikt voor het uitvoeren van Man-in-the-Middle- en phishingaanvallen op internetgebruikers.
Volgens Mozilla heeft CNNIC met het verstrekken van het intermediate certificaat aan MCS Holding zowel de eigen regels als die van Mozilla overtreden. Toch is het blokkeren van de nieuwe CNNIC SSL-certificaten niet permanent. De Chinese certificaatautoriteit kan opnieuw vragen om door Firefox te worden geaccepteerd en de blokkade op te heffen. Daarvoor moet het naast het standaardproces mogelijk ook een aantal aanvullende maatregelen doorvoeren die vanwege het incident door de Mozilla-gemeenschap worden geëist.
Deze posting is gelocked. Reageren is niet meer mogelijk.