Mozilla heeft Symantec geadviseerd om een voorstel van Google om weer vertrouwen in de ssl-certificaten van het beveiligingsbedrijf te krijgen op te volgen. Vanwege verschillende fouten bij ssl-certificaten die door Symantec zijn gecontroleerd en uitgegeven kondigde Google in maart een plan aan om geleidelijk het vertrouwen in de certificaten van het bedrijf op te zeggen.
Zo had Symantec ten onrechte een ssl-certificaat voor Google aan een andere partij uitgegeven. Om het vertrouwen te herstellen stelde Google verschillende maatregelen voor. Zo zouden nieuwe door Symantec uitgegeven ssl-certificaten een geldigheidsperiode van 9 maanden of minder krijgen. Daarnaast zou het vertrouwen in al uitgegeven Symantec-certificaten geleidelijk worden opgezegd. Symantec reageerde door te stellen dat de berichtgeving van Google misleidend en overdreven was.
Na overleg kwam Google met een tweede voorstel, waarbij Symantec een nieuwe public key infrastructure (PKI) zou moeten gaan gebruiken, die in eerste instantie van één of meer andere certificaatautoriteiten zou zijn. Ook zou het vertrouwen in de ev-ssl-certificaten van Symantec niet worden opgezegd en zouden nieuwe Symantec-certificaten 13 maanden in plaats van 9 maanden geldig blijven. Symantec kwam vorige week met een eigen voorstel, maar dat valt niet in goede aarde.
"We vinden dat het antwoord van Symantec niet voldoende weergeeft dat ze de ernst van de problemen begrijpen en dat hun voorstel voornamelijk ervoor zorgt dat ze meer van hetzelfde blijven doen, wat in het verleden niet voor consistente hoge standaarden heeft gezorgd", zegt Mozilla's Gervase Markham. Hij benadrukt dat Mozilla zelf beslissingen maakt, maar zich in dit geval in de oplossing van Google kan vinden. Het tweede voorstel van Google biedt volgens Mozilla de juiste balans voor Symantec tussen het breken met het verleden om weer in de toekomst te kunnen worden vertrouwd en het minimaliseren van de impact op het ecosysteem. Mozilla adviseert Symantec dan ook om het voorstel te heroverwegen.
"Als dat voorstel niet wordt geïmplementeerd, moeten we alternatieve maatregelen nemen om het risico te verminderen van in het verleden en de toekomst verkeerd uitgegeven certificaten door Symantec", aldus Markham. Mozilla zal in dit geval alleen nog nieuwe Symantec-certificaten voor een periode van 13 maanden accepteren en de geldige levensduur van bestaande certificaten naar 13 maanden terugbrengen. Ook moet Symantec onderdelen die niet aan de Baseline Requirements voor certificaten voldoen afstoten en de eigen PKI volledig in kaart brengen.
Deze posting is gelocked. Reageren is niet meer mogelijk.