Mozilla overweegt om certificaten van het omstreden securitybedrijf DarkMatter uit Firefox te verwijderen, zo heeft de browserontwikkelaar tegenover persbureau Reuters laten weten. DarkMatter wil als rootcertificaatautoriteit aan Firefox worden toegevoegd.
Browsers en besturingssystemen vertrouwen tls-certificaten, die websites voor een versleutelde verbinding gebruiken, alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven. De Amerikaanse burgerrechtenbeweging EFF is bang dat als DarkMatter wordt toegevoegd, het tls-certificaten voor allerlei domeinen kan uitgeven die vervolgens voor man-in-the-middle-aanvallen zijn te gebruiken.
DarkMatter kwam onlangs in het nieuws over cybersurveillance in de Verenigde Arabische Emiraten. Het securitybedrijf beschikt daarnaast al over een "intermediate" certificaat van een ander bedrijf genaamd QuoVadis, dat eigendom van DigiCert is. Met een intermediate certificaat kan DarkMatter voor willekeurige domeinen tls-certificaten uitgeven. Het toezicht vindt echter plaats door DigiCert, waardoor de schade beperkt blijft, aldus de EFF.
Naar aanleiding van het verzoek van DarkMatter om als rootcertificaatautoriteit te worden toegevoegd vroegen verschillende bedrijven en organisaties aan Mozilla om de certificaten van het securitybedrijf in te trekken. Iets dat de browserontwikkelaar overweegt. "We hebben op dit moment geen technisch bewijs van misbruik door DarkMatter, maar de berichtgeving is sterk bewijs dat misbruik zich waarschijnlijk zal voordoen als dat nog niet het geval is", aldus Selena Deckelmann van Mozilla. Ze stelt dat Mozilla overweegt om mogelijk de meer dan 400 certificaten van DarkMatter, of een deel daarvan, uit Firefox te verwijderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.