Проект Mozilla разослал [3] всем удостоверяющим центрам, корневые сертификаты которых поставляются в составе Firefox и других продуктов Mozilla, письмо [4] с требованием отозвать все выданные сторонним организациям вторичные корневые сертификаты.
В последнее время становятся обычной практикой случаи [5] генерации вторичных корневых сертификатов для обеспечения работы систем, направленных на транзитный перехват и расшифровку SSL-трафика, например, систем корпоративного отслеживания утечек данных. Генерируемые для подобных систем вторичные корневые сертификаты позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети, без привлечения удостоверяющего центра, авторизованного на выполнение подобных операций.
Mozilla публично осудила такую практику и считает действия по выдаче вторичных корневых сертификатов недопустимыми, даже если подобные сертификаты используются в закрытой сети, только для внутренних корпоративных нужд. В частности, это подрывает основной принцип сертификации - удостоверяющий центр должен являться единственным первичным звеном, полностью контролировать процесс и нести полную ответственность за все подписанные сертификаты. Поэтому нельзя допустить включение в цепочку утверждения сертификатов сторонних и неподконтрольных удостоверяющему центру компаний.
В связи с этим, Mozilla предъявила удостоверяющим центрам несколько требований:
Удостоверяющие центры должны выполнить данные требования до 27 апреля. Если требования не будут выполнены, Mozilla удалит из списка корневых сертификатов, поставляемого в составе своих продуктов, сертификаты удостоверяющих центров, уличённых в практике продажи вторичных корневых сертификатов. В частности, речь ведётся об удостоверяющем центре Trustwave. После удаления сертификата из списка корневых сертификатов Mozilla, все другие сертификаты, подписанные данным удостоверяющим центром, будут отображаться в Firefox как не заслуживающие доверия.
Ссылки:
[1] http://htfl.ru/cat-news-mozilla
[2] http://htfl.ru/cat-news-novosti
[3] /out.php?link=http://blog.mozilla.com/security/2012/02/17/message-to-certificate-authorities-about-subordinate-cas/
[4] /out.php?link=https://wiki.mozilla.org/CA:Communications#February_17.2C_2012
[5] http://htfl.ru/news/v-chrome-planiruyut-otkazatsya-ot-onlain-proverki-sertifikatov-v-firefox-namereny-blokirovat-tr
[6] /out.php?link=http://en.wikipedia.org/wiki/Hardware_security_module