Mozilla security team heeft gevangen tussen een rots en een harde plaats in voor wat betreft een recente aanvraag voor het toevoegen van een bekend toezicht leverancier van Firefox interne lijst van goedgekeurde HTTPS-certificaat uitgeven.
De verkoper is genoemd DarkMatter, een cyber-security bedrijf gevestigd in de Verenigde Arabische Emiraten dat is bekend om het verkopen van toezicht en het hacken van diensten aan onderdrukkende regimes in het Midden-Oosten [1, 2, 3].
Een paar maanden terug, DarkMatter ingediend van een bug-rapport te vragen dat zijn eigen root-certificaten worden toegevoegd aan de Firefox-certificaatarchief –dat is een interne lijst van Certificate authorities (ca ‘ s).
CAs zijn bedrijven, organisaties en andere entiteiten die zijn goedgekeurd voor uitgifte van TLS certificaten –het mechanisme ondersteunt versleutelde HTTPS-communicatie.
Mozilla maakt gebruik van dit certificaat te slaan om te weten wat TLS-certificaten te vertrouwen wanneer het laden van de gecodeerde inhoud in Firefox en Thunderbird, vergelijkbaar met de manier waarop Apple, Google en Microsoft gebruiken allemaal hun eigen certificaat winkels om te weten wat de inhoud en het vertrouwen in hun eigen producten.
Een organisatie die een root certificaat toegevoegd in deze root winkels heeft de bevoegdheid tot uitgifte van nieuwe certificaten worden automatisch vertrouwd door deze grote bedrijven en hun respectievelijke browsers.
Momenteel Mozilla gevangen zitten tussen een rots en een harde plaats omdat DarkMatter heeft een geschiedenis van schaduwrijke activiteiten, maar heeft ook een duidelijke geschiedenis als een CA, zonder bekende misstanden.
Aan de ene kant Mozilla is onder druk van organisaties als de Electronic Frontier Foundation, Amnesty International, en Het Snijpunt daling DarkMatter verzoek, terwijl aan de andere kant DarkMatter beweert dat het nooit misbruik gemaakt van haar TLS-certificaat uitgifte bevoegdheden voor alles wat slecht is, dus er is geen reden om de behandeling het enige dat verschillend is van de andere ca ‘ s die zijn toegepast in het verleden.
Angsten en paranoia zijn hoog, omdat Mozilla ‘s lijst met vertrouwde certificaten wordt ook gebruikt door sommige Linux distro’ s. De vrees van velen, dat na goedkeuring op de Mozilla-certificaatarchief lijst, DarkMatter mogelijk probleem TLS-certificaten die in staat zal zijn om het onderscheppen van internetverkeer zonder dat een eventuele fouten op sommige Linux-systemen, meestal in datacenters en cloud service providers.
In Google Groups en Bugzilla discussies op haar verzoek, DarkMatter ontkent enig vergrijp of een voornemen daartoe.
Het bedrijf heeft reeds de mogelijkheid geboden om het probleem TLS certificaten via een tussenpersoon, een bedrijf genaamd QuoVadis, nu eigendom van DigiCert.
Degenen die vragen Mozilla dalen DarkMatter verzoek van de opneming in de root certificate store waren er snel bij om beslag te leggen op het feit dat DarkMatter heeft al misissued een paar TLS-certificaten al via de QuoVadis. Echter, de meeste lijken technische fouten, en de certificaten niet lijken te zijn misbruikt voor iets kwaadaardig.
“Gegeven DarkMatter het zakelijke belang in het onderscheppen van TLS communicatie toe te voegen aan de vertrouwde root-lijst lijkt me een heel slecht idee,” EVF van de Cooper Quintin zei in de discussies van Google Discussiegroepen. “Ik zou zo ver gaan als het intrekken van hun intermediate certificaat, op basis van deze openbaringen.”
Quintin uitgebreid over zijn angsten in een post op de EFF blog, herinnert Mozilla dat het ging door een soortgelijk probleem in 2009 met CNNIC, de Chinese overheid officiële CA. Mozilla goedgekeurd CNNIC als een vertrouwde basiscertificeringsinstantie in Firefox in 2009, en de CA was gevangen misissuing certificaten voor Google-domeinen in 2015, zodat de dreiging actoren verkeer te onderscheppen bedoeld voor Google sites-een gebeurtenis die werd CNNIC verboden in de meeste certificaat root lijsten opslaan.
Volgens Mozilla ingenieurs die sprak met ZDNet op de diepe achtergrond en niet wilt delen hun namen, want ze waren niet bevoegd om te spreken namens de organisatie, Mozilla is serieus aan het nadenken over het probleem.
We kregen te horen dat Mozilla niet op de hoogte was van DarkMatter de geschiedenis op het moment dat het toegepast moet worden opgenomen in het archief van een paar maanden terug. Een rapport van Reuters publiceerde vorige maand het beschrijven van DarkMatter ‘ s betrokkenheid bij het helpen van de Saoedi-spion van de overheid op dissidenten draaide een paar koppen bij Mozilla.
Het rapport leidde tot kritiek van het toezicht verkoper in de maanden oud Bugzilla bug-rapport, waarin de led-Mozilla personeel om serieus te overwegen het maken van een uitzondering op de normale CA goedkeuringsproces en daling van de opname verzoek, ondanks een gebrek aan enig bewijs van misbruik.
Mozilla heeft de opening van een aparte Google Discussiegroepen discussie verzamelen om meer feedback vanuit de community, de meeste van die, op het moment van schrijven, is negatief. We kregen te horen Mozilla zou waarschijnlijk gebruik maken van deze kritiek als een reden om te weigeren DarkMatter verzoek in een poging om te voorkomen dat slechte pers en andere CNNIC incident.
“Mozilla’ s Archief-Beleid verleent ons de bevoegdheid om maatregelen te nemen op basis van het risico voor mensen die onze producten gebruiken. Ondanks het ontbreken van direct bewijs van misissuance door DarkMatter, dit kan een tijd zijn, wanneer moeten we gebruik maken van onze goeddunken te handelen in het belang van de personen die een beroep doen op onze root winkel,” Mozilla zei.
Artikel bijgewerkt verwijderen van een technische onnauwkeurigheid.
Meer browser dekking:
Google gaat op Chrome wijzigingen die zou hebben verminkt, ad blockers
Een derde van alle Chrome-extensies verzoek toegang tot de gegevens van de gebruiker op enige site
Microsoft Rand laat Facebook Flash code achter de gebruikers backsGoogle met een auto-update-naar-HTTPS experiment in ChromeWindows 10 Tijdlijn Chrome-extensie is net geland vanuit MicrosoftGoogle werken aan nieuwe Chrome security functie te ‘vernietigen DOM XSS Wat ondernemingen moet weten over het nieuwe Chroom-gebaseerd Rand TechRepublicAd-blocking Dappere krijgt geheugen voordeel ten opzichte van Chrome op nieuws websites CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters