Mozilla security team è stato catturato tra una roccia e un posto duro nei confronti di una recente richiesta di aggiunta di un noto fornitore di sorveglianza per Firefox interno elenco approvato certificato HTTPS emittenti.
Il fornitore è chiamato DarkMatter, un cyber-sicurezza ditta con sede negli Emirati Arabi Uniti che è stato conosciuto per vendere di sorveglianza e di hacking servizi di regimi oppressivi in Medio Oriente [1, 2, 3].
Un paio di mesi fa, DarkMatter ha segnalato un bug report chiedendo che i propri certificati root essere aggiunto a Firefox archivio certificati –che è un elenco di Autorità di certificazione (Ca).
CAs imprese, organizzazioni e altri soggetti, che sono approvati per l’emissione di nuovi certificati TLS –il meccanismo che supporta HTTPS comunicazioni.
Mozilla utilizza questo certificato store per sapere cosa certificati TLS per la fiducia, quando carico il contenuto crittografato all’interno di Firefox e Thunderbird, simile a come Apple, Google e Microsoft che tutti utilizzano il loro certificato di negozi di sapere quali sono i contenuti di fiducia quando si carica il contenuto crittografato all’interno di Safari, macOS, Chrome, Chrome OS, Edge, IE, Windows, e altri loro prodotti.
Un’organizzazione che dispone di un certificato di origine aggiunto in questi root negozi ha il potere di emettere nuovi certificati che vengono automaticamente di fiducia da queste grandi aziende e dei loro rispettivi browser e sistemi operativi. Antivirus anche i prodotti certificati di trust che provengono da CAs cui i certificati di origine sono in un archivio certificati, confidando quelle applicazioni come legittimo.
Attualmente, Mozilla si è verificato tra una roccia e un posto duro perché DarkMatter ha una storia di operazioni ombrose, ma ha anche un pulito storia come CA, senza alcun abusi.
Su un lato di Mozilla è sotto pressione da parte di organizzazioni come la Electronic Frontier Foundation, Amnesty International e L’Intercetta il declino di DarkMatter richiesta, mentre sull’altro lato DarkMatter sostiene che mai abusato della sua TLS emissione di certificati di poteri per nulla di male, quindi non c’è motivo di trattare in modo diverso da altri CAs che hanno applicato in passato.
Le paure e le paranoie sono alti, perché Mozilla elenco dei certificati radice attendibili è utilizzato anche da alcune distribuzioni di Linux. Sono in molti a temere che, una volta approvato, su Mozilla certificato del negozio elenco, DarkMatter può essere in grado di rilasciare certificati TLS che sarà in grado di intercettare il traffico internet senza l’attivazione di eventuali errori su alcuni sistemi Linux, di solito installati nei data center e al cloud service provider.
Google Gruppi e Bugzilla discussioni su sua richiesta, DarkMatter ha negato qualsiasi atto illecito o un’intenzione di farlo.
La società è già stata concessa la possibilità di emettere certificati TLS tramite un intermediario, una società denominata QuoVadis, ora di proprietà da DigiCert.
Chi si chiede che Mozilla declino DarkMatter richiesta di inclusione nell’archivio certificati radice si sono affrettati a cogliere sul fatto che DarkMatter è già misissued un paio di certificati TLS già via QuoVadis. Tuttavia, la maggior parte sembrano errori tecnici, e che i certificati non sembra essere stato abusato per nulla dannoso.
“Dato DarkMatter affari di interesse nell’intercettare TLS comunicazioni di aggiungerli alla radice attendibili elenco sembra una cattiva idea,” EFF Cooper Quintin ha detto in discussioni di Google Gruppi. “Vorrei andare così lontano come il diritto di revoca il loro certificato intermedio, in base a queste rivelazioni.”
Quintin ampliato le sue paure in un post sul FEP blog, ricordando Mozilla, che è passata attraverso un problema simile nel 2009 con cnnic ha, il governo Cinese ufficiale di CA. Mozilla ha approvato cnnic ha come autorità di certificazione principale attendibile in Firefox nel 2009, e la CA è stato catturato misissuing certificati per i domini di Google, nel 2015, consentendo minaccia attori di intercettare il traffico destinato per i siti di Google, un evento che ha ottenuto cnnic ha vietato all’interno della maggioranza certificato root conservare le liste di.
Secondo Mozilla ingegneri che ha parlato con ZDNet profondo background e non vogliono condividere i loro nomi perché non erano autorizzati a parlare a nome dell’organizzazione, Mozilla sta prendendo seriamente in considerazione il problema.
Ci è stato detto che Mozilla non era a conoscenza di DarkMatter storia al momento è applicata da inserire nel proprio archivio principale un paio di mesi fa. Un rapporto di Reuters pubblicato il mese scorso che descrive DarkMatter coinvolgimento di aiutare il governo Saudita spiare i dissidenti girato un paio di teste di Mozilla.
Il report ha scatenato le critiche di sorveglianza venditore nei mesi Bugzilla bug report, che ha portato Mozilla personale a considerare seriamente la possibilità di fare un’eccezione per il suo normale CA processo di approvazione e di rifiutare la richiesta di inclusione nonostante la mancanza di qualsiasi prova di abuso.
Mozilla ha aperto un Google separati Gruppi di discussione per raccogliere più feedback da parte della comunità, la maggior parte dei quali, al momento della scrittura, è stato negativo. Ci è stato detto di Mozilla è molto probabile che utilizzare questa critica come un motivo per rifiutare DarkMatter richiesta, nel tentativo di evitare la cattiva stampa e un altro cnnic ha un incidente.
“Mozilla Archivio Principale della Politica ci concede la facoltà di intraprendere azioni basate sul rischio per le persone che utilizzano i nostri prodotti. Nonostante la mancanza di prove dirette di misissuance da DarkMatter, questo può essere un momento in cui dobbiamo usare il nostro potere discrezionale nell’interesse di persone che si affidano al nostro archivio principale,” Mozilla ha detto.
Più browser copertura:
Google ritorna su Chrome modifiche che avrebbe paralizzato annuncio bloccanti
Un terzo di tutte le estensioni di Chrome richiesta di accesso ai dati dell’utente su qualsiasi sito
Microsoft Edge consente a Facebook di esecuzione del codice Flash dietro utenti backsGoogle esegue un auto-update-per-HTTPS esperimento in ChromeWindows 10 Timeline estensione di google Chrome è appena atterrato da MicrosoftGoogle lavoro sul nuovo Chrome funzione di protezione per ‘cancellare DOM XSS’What le imprese hanno bisogno di conoscere il nuovo Cromo-based Bordo TechRepublicdi blocco degli Annunci Coraggioso ottiene memoria vantaggio su Chrome su siti web di notizie CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati