A Mozilla CA csapat bizalomvesztése a WoSign/StartCom tanúsítványkibocsátókkal szemben

 ( trey | 2016. szeptember 27., kedd - 10:21 )

Idézet:
As documented in Mozilla’s investigation and as confirmed by a Hebrew-speaking lawyer who has examined the documents for us, as of November 1st 2015, WoSign took 100% ownership of the Israel-based CA “StartCom”, through intermediary companies in the UK and Hong Kong. Issue R in the original list of issues covers this. While purchasing another CA is by no means illegal, Mozilla’s program requirements say that a change of CA ownership must be disclosed. In this case, that was not done - and in fact, the change was directly denied a few months after it happened. More recently, even after the evidence of total control was public, WoSign referred to their interest in StartCom in a press release as “an equity investment”, and maintain that the two businesses continue to be separate even today. They say “the original system ... of StartCom remains unchanged”. [...] Taking into account all the issues listed above, Mozilla’s CA team has lost confidence in the ability of WoSign/StartCom to faithfully and competently discharge the functions of a CA. Therefore we propose that, starting on a date to be determined in the near future, Mozilla products will no longer trust newly-issued certificates issued by either of these two CA brands.

A teljes dokumentum itt olvasható.

tl;dr A Mozilla CA csapat elveszítette a bizalmát a WoSign/StartCom tanúsítványkibocsátokkal szemben, egyebek mellett azért, mert "elfelejtették" közölni, illetve tagadták, hogy a WoSign megvásárolta a StartCom-ot. Ez ütközik a Mozilla CA Certificate Maintenance Policy dokumentumában foglaltakkal, ezért a Mozilla azt javasolja, hogy egy közeljövőben meghatározásra kerülő dátumtól kezdve a Mozilla termékek ne bízzanak meg a két nevezett tanúsítványkibocsátó által újonnan kibocsátott tanúsítványokban.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Na waze, épp tegnap újítottam meg, akkor van még 3 évem...

Még szerencse, hogy a szintén ingyenes cert-eket kiállító Let's Encrypt, ahol a Mozilla az első a támogatók listáján, benne maradt az elfogadott kiállítók listájában. (Nem konteónak szántam, még ha annak is hangzott. :))

"egy közeljövőben meghatározásra kerülő dátumtól kezdve", ebbe akár még egy ismételt megújítás is beleférhet. :-)


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Nem függ ez össze a tanúsítvánnyal és annak megújításával... Ha a Mozilla a következő Firefox verziójában eltávolítja, vagy nem megbízhatónak ítéli ezeket a kiadókat, akkor teljesen mindegy, hogy egyébként még mennyi ideig lenne érvényes az általuk kiadott tanúsítvány, a Firefox felhasználóknál nem fog hitelesként megjelenni.

De pont nem ezt írják.

"We plan to distrust only newly-issued certificates to try and reduce the impact on web users, as both of these CA brands have substantial outstanding certificate corpuses."

--

Igen, olvastam, de ez abszolút csak a Mozilla hozzáállásától függ. Nem is értem egyébként, hogy milyen szankció ez. A kiadóval szemben bizalomvesztés alakult ki, mert visszadátumozott tanúsítványokat. Majd erre olyan szankciót akarnának bevezetni, amit a kiadó ugyanúgy meg tud kerülni, ha visszadátumozza a tanúsítványokat...

Erre is kiternek a leirasban: ha ilyet tesz, akkor fullosan kiveszik a trusted CA-k kozul. Szoval meg tudja kerulni, de figyelik, es ha megteszi, akkor papa.

--
|8]

Mas kerdes, hogy ez nem segit azokon a usereken, akikkel szemben meg korrektek voltak.
--
Blog | @hron84
Üzemeltető macik

A mostani "megkerülés" is csak sejtéseken alapul, nincsenek egyértelmű bizonyítékok. Az, hogy WoSign több tanúsítványt bocsátott ki egy vasárnapi napon és így többet dolgozhatott egy ottani kínai alkalmazott, mint máskor, hát ez azért nem túl erős bizonyíték egy kínai szolgáltatóval szemben. Ha ismét hasonló visszadátumozás fog történni, arra sem lesz ugyanígy erős bizonyíték, főleg hogy most tanult a kiadó a hibákból és a leírásból már tudják mire kell odafigyelni, amikor visszadátumoznak...

Erre max. csak az lenne hatásos megoldás, ha előírnák NAV on-line pénztárgép jelleggel, hogy a szolgáltató folyamatosan köteles jelentést küldenie arról, hogy mennyi és milyen tanúsítványt adtak ki az adott napokon. De ez nyilván számos akadályba ütközne.

Ez tudom, de miért írtad le és mi köze a hozzászólásomhoz?


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Jajj, ezt nagyon nem szeretnem. Par ev mulva majd a Let's Encryptet is ki fogjak venni... :-(
--
Blog | @hron84
Üzemeltető macik

Amíg itt benne vannak (főleg első helyen), talán nem:
https://letsencrypt.org/sponsors/

Tul egyszeru torolni az automata utalast a bankban.
--
Blog | @hron84
Üzemeltető macik