image

Mozilla zegt ook vertrouwen op in certificaten van certificaatautoriteit Entrust

donderdag 1 augustus 2024, 11:33 door Redactie, 4 reacties

Na Google heeft ook Mozilla het vertrouwen opgezegd in certificaten van certificaatautoriteit Entrust, en zal die later dit jaar in Firefox gaan blokkeren, wat grote gevolgen kan hebben voor websites die van deze certificaten gebruikmaken. Certificaatautoriteiten geven tls-certificaten uit die onder andere voor versleutelde verbindingen en identificatie van websites worden gebruikt.

Fouten door deze partijen kunnen dan ook grote gevolgen hebben. Vanwege de belangrijke rol die certificaatautoriteiten spelen moeten die aan allerlei regels voldoen, zoals opgesteld in de CA/Browser TLS Baseline Requirements. Entrust kreeg de afgelopen jaren met meerdere incidenten te maken waarbij het zich niet aan deze regels hield en hier ook al eerder op de vingers voor was getikt.

Google sprak over een 'jarenlang patroon' van het niet voldoen aan eisen, het niet nakomen van toezeggingen om zaken te verbeteren en het ontbreken van meetbare voortgang in reacties op gemelde incidenten. Mozilla vroeg Entrust om opheldering over de oorzaken van de recente incidenten en genomen acties daarop om het vertrouwen te herstellen.

Volgens de Firefox-ontwikkelaar verschillen de toezeggingen van Entrust niet van de in 2020 gegeven beloftes die bij recente incidenten werden gebroken. "Uiteindelijk was het voorgestelde plan niet voldoende om het vertrouwen in de operaties van Entrust te herstellen", zegt Mozillas Ben Wilson. Mozilla zal nu Entrust-certificaten die na 30 november worden uitgegeven niet meer in Firefox vertrouwen. Google kondigde eerder al aan dit vanaf 31 oktober te doen.

Vanwege de situatie heeft Entrust een akkoord met SSL.com gesloten, dat nu de 'TLS certificate lifecycle' van Entrust zal ondersteunen en als External Registration Authority (RA) zal fungeren. SSL.com en Entrust adviseren klanten om hun certificaten voor 31 oktober te verlengen, die vervolgens nog 398 dagen door Chrome vertrouwd zullen worden.

Reacties (4)
01-08-2024, 14:05 door Anoniem
Maar google gebruikt hun search engine voor hun politieke voorkeur (hebben ze zelf toegegeven). Dus ik zeg het vertrouwen op in google. Dus vanaf nu geen google diensten meer in Europa.

Kan iemand dit even doorsturen het management daar, zodat ze er gehoor aan kunnen geven.
01-08-2024, 14:09 door Anoniem
had ik all uitgeschakeld gelukkig
01-08-2024, 15:21 door Anoniem
Door Anoniem: had ik all uitgeschakeld gelukkig

Wat maakt het uit, je hebt toch al letsencrypt aan staan... Het enige wat je kunt vertrouwen zijn op het ogenblik je eigen certificaten.
02-08-2024, 08:36 door Anoniem
En wanneer volgt DigiCert?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.