Mozilla направили письмо удостоверяющим центрам

Как сообщается на официальном блоге Mozilla,  всем удостоверяющим сертификационным центрам, чьи корневые сертификаты которых присутствуют в составе Firefox и других продуктов Mozilla, было направлено официальное письмо с требованием отозвать все  вторичные корневые сертификаты, которые были выданы сторонним организациям.

Как известно, Mozilla публично осудила подобную практику  так как считает недопустимыми действия по выдаче вторичных корневых сертификатов, даже в случаях использования подобных сертификатов   в закрытой сети исключительно для внутренних корпоративных нужд. Нарушается  основной принцип сертификации - так как удостоверяющий центр должен являться единственным первичным звеном, которое  полностью контролируеть процесс и несет полную ответственность за все подписанные сертификаты. В связи с этим нельзя допускать включение в цепочку утверждения сертификатов сторонних и неподконтрольных удостоверяющему центру компаний.

В своем письме Mozilla предъявила удостоверяющим центрам список требований требований, среди которых требование отозвать все выданные сторонним лицам вторичные корневые сертификаты, ликвидировать  используемые для хранения этих сертификатов HSM-модули, опубликовать серийные номера данных сертификатов и сигнатуры корневых сертификатов, которые используются для их подписи.

Данная информация позволит Mozilla и другим заинтересованным лицам определять и блокировать все сертификаты, которые созданы с использованием вторичных корневых сертификатов.

Установлена дата -27 апреля, до которой все удостоверяющие сертификационные центры должны выполнить данные требования. В обратном случае, Mozilla удалит из списка корневых сертификатов, поставляемого в составе своих продуктов, сертификаты удостоверяющих центров, которые были замечены в практике продажи вторичных корневых сертификатов. В частности, речь ведётся об удостоверяющем центре Trustwave. После удаления сертификата из списка корневых сертификатов Mozilla, все другие сертификаты, подписанные данным удостоверяющим центром, будут отображаться в Firefox как не заслуживающие доверия.