Mozilla: s säkerhetsgrupp har fastnat mellan en sten och en hard plats i fråga om att en senare begäran om att lägga till en känd övervakning säljaren Firefox inre lista över godkända HTTPS-certifikat emittenter.
Säljaren heter DarkMatter, en cyber-bevakningsföretag med säte i Förenade Arabemiraten som har varit kända för att sälja övervakning och hacka tjänster till förtryckande regimer i Mellanöstern [1, 2, 3].
Ett par månader tillbaka, DarkMatter lämnat in en felrapport ber att dess egen root-certifikat läggas till Firefox certificate store –som är en intern förteckning över certifikatutfärdare (Ca).
CAs är företag, organisationer och andra enheter som är godkända för att utfärda nya TLS-certifikat –den mekanism som har stöd för krypterad HTTPS-kommunikation.
Mozilla använder certifikatet butik för att veta vad TLS-certifikat lita på när du laddar krypterade innehållet i Firefox och Thunderbird, på liknande sätt som Apple, Google och Microsoft använder alla sina certifikat butiker för att veta vilket innehåll man kan lita på när lastning krypterade innehållet i Safari, macOS, Chrome, Chrome OS, Edge, IE, Windows, och andra av deras produkter.
En organisation som har ett root-certifikatet läggs i dessa rot-butiker som har befogenhet att utfärda nya certifikat som är automatiskt betrodd av dessa stora företag och deras respektive webbläsare och operativsystem. Antivirus-produkter kommer också att lita på certifikat som kommer från CAs-vars rot-certifikat är ett certifikat för butik, lita på de program som legitima.
För närvarande, Mozilla är fångad mellan en sten och en hard plats eftersom DarkMatter har en historia av att skumma verksamhet men har också en ren historia som en CA, utan något känt missbruk.
På ena sidan Mozilla är pressad av organisationer som Electronic Frontier Foundation, Amnesty International, och Avlyssna att minska DarkMatter begäran, medan å andra sidan DarkMatter hävdar att det aldrig missbrukat sin TLS-certifikat utfärdande befogenheter för något dåligt, därför att det finns ingen anledning att behandla det annorlunda från andra CAs-som har tillämpats tidigare.
Rädsla och paranoia är hög eftersom Mozilla: s lista över betrodda rotcertifikat används också av vissa Linux-distributioner. Många fruktar att när de väl har godkänts på Mozilla ‘ s certificate store lista, DarkMatter kan utfärda TLS-certifikat som kommer att kunna avlyssna internet-trafik utan att utlösa någon fel på vissa Linux-system, vanligtvis ut i datacenter och hos leverantörer av molntjänster.
I Google Grupper och Bugzilla diskussioner på sin begäran, DarkMatter förnekade brott eller någon avsikt att göra så.
Företaget har redan fått möjligheten att utfärda TLS-certifikat via en mellanhand, ett företag som heter QuoVadis, som nu ägs av DigiCert.
De som ber Mozilla att minska DarkMatter begäran av integration i root certificate store var snabb att ta tillvara på det faktum att DarkMatter har redan misissued några TLS-certifikat redan via QuoVadis. Dock verkar de flesta tekniska fel, och de certifikat som inte verkar ha utsatts för något skadligt.
“Med tanke på DarkMatter verksamhet intresset för avlyssning av TLS-kommunikation att lägga till dem i listan betrodda rotcertifikat som känns som en mycket dålig idé,” EFF: s Cooper Quintin sade i Google Grupper diskussioner. “Jag skulle vilja gå så långt som att återkalla deras mellanliggande certifikat som baserar sig på dessa uppenbarelser.”
Quintin expanderat på sina rädslor i ett inlägg på EFF blogg, för att påminna Mozilla att det gick igenom ett liknande problem i 2009 med CNNIC, den Kinesiska regeringens officiella CA. Mozilla godkänd CNNIC som en betrodd rotcertifikatutfärdare i Firefox under 2009, och CA fångades misissuing certifikat för Google-domäner 2015, vilket gör att hotet aktörer för att avlyssna trafik avsedd för Google sites –en händelse som fick CNNIC förbjudna i de flesta intyg root lagra listor.
Enligt Mozilla ingenjörer som talade med ZDNet på djupt bakgrunden och inte vill dela med sig av sina namn eftersom de inte auktoriserade att tala på uppdrag av organisationen, Mozilla är allvarligt med tanke på den frågan.
Vi fick veta att Mozilla inte var medveten om DarkMatter historia på den tiden det gällde att ingå i dess rot lagra ett par månader tillbaka. En Reuters rapport som publicerades förra månaden beskriver DarkMatter s engagemang i att hjälpa den Saudiska regeringen spy på oliktänkande visade några huvuden på Mozilla.
Rapporten ledde till kritik av övervakning leverantören månader gamla Bugzilla felrapport, vilket ledde Mozilla personal för att på allvar överväga att göra ett undantag till sitt normala CA godkännande process-och nedgång integration begäran trots bristen på bevis för övergrepp.
Mozilla har nu öppnat ett separat Google-Grupper diskussion för att samla in mer feedback från gemenskapen, av vilka de flesta, i skrivande stund, har varit negativa. Vi fick höra Mozilla skulle mest sannolikt kommer att använda denna kritik som ett skäl till nedgången DarkMatter begäran i ett försök att undvika dålig press och annan CNNIC händelsen.
“Mozilla Root Butik Politik ger oss möjlighet att vidta åtgärder som grundar sig på risken för att personer som använder våra produkter. Trots brist på direkta bevis för misissuance av DarkMatter, detta kan vara en tid när vi ska använda vår handlingsfrihet att agera i intresse av individer som förlitar sig på våra rot-butiken,” sade Mozilla.
Mer webbläsare täckning:
Google backtracks på Chrome-ändringar som skulle ha lamslagit ad-blockerare
En tredjedel av alla Chrome-tillägg begära att få tillgång till användarnas uppgifter på en webbplats
Microsoft Kanten låter Facebook köra Flash-koden bakom användarnas backsGoogle kör en automatisk uppdatering-att-HTTPS experiment i ChromeWindows 10 Tidslinje Chrome extension har precis landat från MicrosoftGoogle arbeta på nya Chrome-säkerhet-funktionen att ” utplåna DOM-XSS’What företag behöver veta om den nya Krom-baserad Edge TechRepublicAd-blockerande Modig får minne fördel jämfört med Chrome på nyheter webbplatser CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter