Mozilla har mistet tilliden til kinesisk CA

Kinesiske WoSign er på vej ud af Mozillas trust-program.

Organisationen bag Firefox-browseren, Mozilla, vil stritte den kinesiske CA (Certificate authority) WoSign ud af det såkaldte trust-program. Dermed skal certifikater udstedt fra WoSign ikke længere godkendes af eksempelvis Firefox.

Mozilla beskylder blandt andet WoSign for at købe en anden CA, StartCom, uden at have oplyst om dette.

Det fortæller The Register, som blandt andet henviser til en længere analyse fra Mozillas CA-folk på Google Docs.

»... mistet tillid i WoSign/Startcoms evne til troværdigt og kompetent at udføre en CA's funktioner,« står der ifølge The Register i analysen.

Af en længere liste over de problemer, Mozilla mener, der er med WoSign, fremgår det, at WoSign eksempelvis ved en fejl har udstedt et certifikat for kodetjenesten GitHub til en universitetsstuderende.

Og så handler en del af kritikken om SHA-1-certifikater, som på grund af sikkerhedsbekymringer er ved at blive udfaset. Både WoSign og StartCom forsøgte i den forbindelse at tilbagedatere SHA-1-certifikater, så det så ud, som om det var fra før 1. januar 2016.

Det er datoen, hvor Mozilla ikke længere godkender nyudstedte SHA-1-certifikater.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Michael Cederberg

Hele ideen med at vores OS eller browser automatisk truster en stor bunke root CA'er har forlængst spillet fallit. Fx opdagede jeg lige at min Firefox browser har et root certificate fra RSA Security Inc. Efter deres svinestreg med Dual_EC_DRBG troede jeg aldrig at jeg skulle stole på dem mere. Det gør jeg så nu - indirekte gennem min tillid til Mozilla. Hvis man kigger på listen af root CA'er så er det en del af dem som jeg aldrig ville stole på, hvis jeg fik valget.

  • 11
  • 0
#2 Deleted User

Hvis man kigger på listen af root CA'er så er det en del af dem som jeg aldrig ville stole på, hvis jeg fik valget.

Hvem har frataget dig det valg? Er det et spørgsmål om at du ikke er herre i eget hus, altså har rettigheder på systemet?

Det står dig da ganske frit for at ændre i listen hvis du har rettigheder på systemet.

  • 0
  • 1
#3 Michael Cederberg

Hvem har frataget dig det valg? Er det et spørgsmål om at du ikke er herre i eget hus, altså har rettigheder på systemet?

Det står dig da ganske frit for at ændre i listen hvis du har rettigheder på systemet.

Problemet er at hvis jeg vælger at udelukke bestemte CA'er så har jeg ingen anelse om hvad jeg udelukker. I praksis kan man ikke bruge sin browser hvis man gør det.

Hvis det nu i stedet var sådan at der var N danske CA'er der udstedte certifikater til danske IP adresser, nogle svenske, etc. Så kunne jeg vælge ikke at stole på bulgurske og elboniske CA'er, mens jeg nok ville have mere tiltro til danske, tyske og amerikanske. Som det er nu er det et fedt.

  • 1
  • 0
#4 Joe Sørensen

Men det er da altid noget at de trimmer lidt i toppen.

In addition, Mozilla will: [...] and no longer accept audits carried out by Ernst & Young (Hong Kong).

Av Ernst & Young. Det koster på troværdigheden. Denne gang sker der selvfølgelig ikke noget, men hvis et revisionsselskab får flere af den slags citater på nettet kunne nogen finde på at kæde dem sammen. Og den slags artikler kan godt finde på at gå op i page rank.

  • 0
  • 0
Log ind eller Opret konto for at kommentere