Mozilla is van plan om nieuwe ssl-certificaten die door de certificaatautoriteiten WoSign en StartCom worden uitgegeven te blokkeren. Aanleiding is een lange reeks van allerlei incidenten met de twee aanbieders van ssl-certificaten. Eind augustus waarschuwde Mozilla al voor eventuele stappen.
Certificaatautoriteiten spelen een zeer belangrijke rol bij het vertrouwen op internet. De incidenten bij WoSign hadden dit vertrouwen volgens Mozilla kunnen aantasten. Zo bleek het mogelijk om via een systeem van WoSign certificaten voor domeinen aan te vragen waar de aanvrager niet de eigenaar van was. Deze certificaten zouden vervolgens voor man-in-the-middle-aanvallen gebruikt kunnen worden. Certificaatautoriteiten ondergaan daarnaast verplichte audits. De problemen werden echter niet door de gebruikte auditor ontdekt. Toen ze wel aan het licht kwamen besloot WoSign ze voor Mozilla te verzwijgen. In totaal zijn er nu 12 incidenten gedocumenteerd.
Vanwege al de problemen zegt Mozilla geen vertrouwen meer in het functioneren van zowel StartCom als WoSign te hebben. Daarom wil de opensource-ontwikkelaar nieuwe certificaten die beide partijen uitgeven niet meer door Firefox laten vertrouwen. Door alleen nieuwe ssl-certificaten te blokkeren moet de impact op internetgebruikers worden beperkt. De blokkade zou voor een jaar gaan gelden, waarna WoSign en StartCom opnieuw kunnen worden vertrouwd als ze aan een lijst met voorwaarden voldoen. Mozilla heeft de plannen nu voor feedback aan de gemeenschap voorgelegd, zodat ook andere browserleveranciers de informatie kunnen gebruiken om eventuele maatregelen tegen de twee certificaatautoriteiten te nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.