Mozilla wil de werkwijze, processen en oude infrastructuur van Symantec niet terugzien bij DigiCert als de laatstgenoemde de certificatendivisie van het securitybedrijf overneemt. In augustus maakte Symantec bekend dat het de certificatendivisie aan certificaatautoriteit DigiCert ging verkopen.
De overname zou volgend jaar moeten worden afgerond. Symantec ligt als certificaatautoriteit al enige tijd onder vuur, omdat er zich bij het uitgeven van tls-certificaten aan websites en bedrijven verschillende incidenten hebben voorgedaan. Daarop hebben Google en Mozilla aangekondigd dat ze het vertrouwen in Symantec-certificaten geleidelijk gaan opzeggen. Mozilla houdt de verkoop van de certificatendivisie van Symantec dan ook nauwlettend in de gaten.
"Het zou niet gepast zijn voor een certificaatautoriteit om sancties te ontsnappen door reorganisatie, of het aanschaffen van een andere certificaatautoriteit door fusie en overname, om vervolgens de bedrijfsvoering onder naam van die certificaatautoriteit onveranderd door te laten gaan", zegt Mozilla's Gervase Markham. Hij stelt dat gezien eerdere deals waar Symantec bij betrokken was, het mogelijk is dat een fusie en overname wordt aangekondigd als de overname van partij B door partij A, waarbij de naam van partij A overblijft, terwijl het bedrijf grotendeels door partij B wordt bestuurd.
Markham laat weten dat vertrouwen niet automatisch tussen organisaties kan worden overgedragen. DigiCert had Mozilla dan ook om advies gevraagd over welke zaken ervoor kunnen zorgen dat Mozilla geen vertrouwen in de gecombineerde certificaatautoriteit heeft. Daarop heeft Mozilla vier richtlijnen gepubliceerd. Zo wil Mozilla niet dat het gecombineerde bedrijf voor het uitgeven van tls-certificaten grotendeels gebruik gaat maken van de oude infrastructuur van Symantec .
Mozilla zegt zich ook zorgen te zullen maken als Symantec-personeel hun dagelijkse werkwijze voortzet, zonder getraind te worden in de methoden en cultuur van DigiCert. Ook wil Mozilla niet dat de processen van Symantec de processen van DigiCert gaan vervangen. Als laatste laat Mozilla weten dat het niet de bedoeling is dat Symantec het gecombineerde bedrijf gaat besturen. De beslissing of de gecombineerde certificaatautoriteit door Mozilla zal worden vertrouwd is uiteindelijk afhankelijk van de feiten en het gedrag van het bedrijf, zo laat de opensource-ontwikkelaar weten. Afsluitend merkt Markham op dat Mozilla het recht voorbehoud om organisaties of rootcertificaten uit te sluiten, maar dat er wordt gehoopt dat DigiCert met de richtlijnen uit de voeten kan.
Deze posting is gelocked. Reageren is niet meer mogelijk.