Представители Mozilla потребовали отозвать все выданные сторонним лицам сертификаты и уничтожить их аппаратные модули безопасности.
Представители Mozilla разослали письма всем центрам сертификации, корневые сертификаты которых входят в состав Firefox и других продуктов Mozilla, потребовав аннулировать выданные сторонним организациям корневые сертификаты. Об этом сообщается в блоге компании.
В частности, в письме представители компании заявили, что для них не приемлемо, чтобы сертификаты выдавались с целью перехвата и расшифровки SSL-трафика.
Напомним, что недавно Trustwave выдал частной компании сертификат, позволяющий ей делегировать собственные SSL-сертификаты любому серверу. Таким образом, клиент Trustwave получил возможность следить за зашифрованным трафиком и перехватывать сообщения сотрудников компании.
Представители Mozilla разъяснили в письме, что для них такая практика неприемлема, даже если подобные сертификаты используются в закрытой сети только для внутренних нужд. Также они потребовали отозвать все аппаратные модули безопасности (Hardware security module, HSM), используемые сторонними компаниями, для выдачи сертификатов; и опубликовать серийные номера этих сертификатов и сигнатуры, используемые для их подписи, что позволит блокировать все сертификаты, созданные с использованием вторичных корневых сертификатов.
В письме представители Mozilla также отметили, что сертификационные центры должны выполнить их требования до 27 апреля 2012 года, иначе компания удалит из списка корневых сертификатов, поставляемых в составе своих продуктов, сертификаты удостоверяющих центров, которые продавали вторичные корневые сертификаты.