Start Empfohlen Mozilla stellt Internet-Zertifizierungsstellen ein Ultimatum

Mozilla stellt Internet-Zertifizierungsstellen ein Ultimatum

19
0


Mozilla hat entschieden, dass einmal gebrochenes Vertrauen nicht leicht wiederhergestellt werden kann. Der Open-Source-Entwickler von Firefox hat heute den Zertifizierungsstellen ein Ultimatum gestellt, nachdem der DigiNor-Hack sich ausbreitete. Zertifikate wie die von DigiNor und anderen CAs sind das Rückgrat des Internet-Vertrauens. Dieses Schloss, das Sie im Browser sehen, repräsentiert Sicherheit und Vertrauen in die Website, auf der Transaktionen stattfinden. Die Zertifikate werden jedoch von Dritten ausgestellt, die vermutlich vertrauenswürdiger sind als Ihre lokale Bank oder ein anderer Online-Dienst.

Der Hacker, der behauptet, in DigiNor eingebrochen zu sein, der unter dem Decknamen COMODOHACKER bekannt ist, behauptet auch, vier andere CAs verletzt und mindestens 531 Schurkenzertifikate ausgestellt zu haben. Bedeutende Browser-Entwickler – unter ihnen Microsoft hat DigiNor verboten und Updates verschickt, um betrügerische Zertifikate zu blockieren.

Mozilla geht noch einen Schritt weiter, indem es von den Zertifizierungsstellen verlangt, bestimmte Zusicherungen zu geben und auch Änderungen vorzunehmen, um das Vertrauen der Organisation in sie und die von ihnen ausgestellten Zertifikate wiederherzustellen. Mozilla hat eine Frist für den 16. September gesetzt. Die aggressive Haltung soll das Vertrauen wiederherstellen, und das aus gutem Grund. Die Nachrichten über die DigiNor-Hacks nehmen täglich zu. Wenn man einmal Angst hat, ist man nicht ganz zu trauen.

Kathleen Wilson, Modulbesitzerin von Mozillas CA Certificates Module, schreibt im Buchstabe:

„Sehr geehrte Zertifizierungsstelle,

Dieser Hinweis fordert eine Reihe von sofortigen Maßnahmen in Ihrem Namen als Teilnehmer des Mozilla-Root-Programms.

Mozilla hat vor kurzem das DigiNotar-Root-Zertifikat entfernt, als Reaktion darauf, dass es nicht gelang, Mozilla umgehend zu erkennen, einzudämmen und darüber zu benachrichtigen Sicherheitsverletzung in Bezug auf ihre Root- und untergeordneten Zertifikate. Wenn Sie jemals Grund zur Annahme haben, dass bei Ihrer Zertifizierungsstelle oder anderswo eine Sicherheitsverletzung oder eine fehlerhafte Ausgabe aufgetreten ist, wenden Sie sich bitte an secur@mozilla.org sofort.

Bitte bestätigen Sie den Abschluss der folgenden Maßnahmen oder geben Sie an, wann diese Maßnahmen abgeschlossen sein werden, und stellen Sie die angeforderten Informationen bis spätestens 16. September 2011 bereit:

1. Auditieren Sie Ihre PKI und überprüfen Sie Ihre Systeme auf Eindringlinge oder Kompromittierung. Dies schließt alle CAs und RAs von Drittanbietern ein.

2. Senden Sie eine vollständige Liste der CA-Zertifikate von anderen Roots in unserem Programm, die Ihre Roots (einschließlich CAs und RAs von Drittanbietern) kreuzsigniert haben. Eine Auflistung aller Root-Zertifikate in den Produkten von Mozilla ist Hier.

3. Bestätigen Sie, dass für alle Konten, die direkt zur Ausstellung von Zertifikaten führen können, eine Multi-Faktor-Authentifizierung erforderlich ist.

4. Bestätigen Sie, dass Sie für hochkarätige Domainnamen (einschließlich derjenigen, die in diesem Jahr von den DigiNotar- und Comodo-Angriffen betroffen waren) automatische Sperren eingerichtet haben. Bitte bestätigen Sie Ihren Vorgang zur manuellen Überprüfung solcher Anfragen, wenn sie blockiert sind.

5. Für jeden externen Dritten (CAs und RAs), der Zertifikate ausstellt oder direkt die Ausstellung von Zertifikaten innerhalb der Hierarchie der Root-Zertifikate veranlassen kann, die Sie in Mozilla-Produkte aufgenommen haben, entweder:

a) Implementieren Sie technische Kontrollen, um die Ausgabe auf eine bestimmte Gruppe von Domainnamen zu beschränken, für die Sie bestätigt haben, dass sich der Dritte registriert hat oder für die er autorisiert wurde (z. B. RFC5280 x509 dNSName-Namenseinschränkungen, als kritisch gekennzeichnet).

ODER

b) Senden Sie eine vollständige Liste aller Drittparteien zusammen mit Links zu jeder ihrer entsprechenden Zertifikatsrichtlinien und/oder Zertifizierungspraxiserklärungen und stellen Sie ihre Konformität mit den angegebenen Verifizierungsanforderungen und anderen Betriebskriterien durch eine kompetente unabhängige Partei oder Parteien mit Zugriff auf Details der internen Vorgänge der untergeordneten Zertifizierungsstelle.

Jede oben angeforderte Aktion gilt sowohl für Ihren Root als auch für diese Dritten.

Die Teilnahme am Root-Programm von Mozilla liegt in unserem alleinigen Ermessen, und wir werden alle notwendigen Schritte unternehmen, um die Sicherheit unserer Benutzer zu gewährleisten. Dennoch glauben wir, dass der beste Ansatz zur Gewährleistung dieser Sicherheit darin besteht, mit CAs als Partner zusammenzuarbeiten, eine offene und offene Kommunikation zu fördern und sorgfältig nach Verbesserungsmöglichkeiten zu suchen. Vielen Dank für Ihre Teilnahme an dieser Verfolgung.

Grüße,
Kathleen Wilson
Modulinhaber des CA-Zertifikatsmoduls von Mozilla“

Bildnachweis: Lichtmeister/Shutterstock



Vorheriger ArtikelMozilla erweckt Todesurteil gegen unsichere CAs
Nächster ArtikelAusführliche Überprüfung von AVG Internet Security 2012

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein