Mozilla ‘s security team har været fanget mellem en sten og et hårdt sted i forhold til en senere anmodning om at tilføje en kendt overvågning sælger til Firefox’ s interne liste over godkendte HTTPS certifikat udstedere.
Sælger er opkaldt DarkMatter, en cyber-sikkerhed firma baseret i de Forenede Arabiske Emirater, som har været kendt for at sælge overvågning og hacking tjenester til undertrykkende regimer i Mellemøsten [1, 2, 3].
Et par måneder tilbage, DarkMatter indgivet en fejlrapport for at bede sin egen rod certifikater blive tilføjet til Firefox ‘ s certifikat butik –som er en intern liste af Certifikat Myndigheder (CAs).
CAs er virksomheder, organisationer og andre enheder, der er godkendt til at udstede nye TLS-certifikater –den mekanisme, der understøtter krypteret HTTPS-kommunikation.
Mozilla bruger dette certifikat butik for at vide, hvad TLS-certifikater til at stole på, når du ilægger krypteret indhold inde i Firefox og Thunderbird, der svarer til, hvordan Apple, Google og Microsoft bruger alle deres eget certifikat butikker for at vide, hvad indhold til at stole på, når du ilægger krypteret indhold inde i Safari, macOS, Chrome, Chrome OS, Kant, DVS, Windows og andre af deres produkter.
En organisation, der har et rodcertifikat, der er tilføjet i disse dybereliggende butikker har beføjelse til at udstede nye certifikater, der automatisk tillid til disse store selskaber og deres respektive browsere og operativsystemer. Antivirus produkter vil også tillid til certifikater, der kommer fra CAs, hvis rod certifikater et certifikat, der er butik, tillid til de programmer, som legitime.
I øjeblikket, Mozilla er fanget mellem en sten og et hårdt sted, fordi DarkMatter har en historie af lyssky operationer, men også har en ren historie som en CA, uden nogen kendt misbrug.
På den ene side Mozilla er presset af organisationer som the Electronic Frontier Foundation, Amnesty International, og skæringen med at falde DarkMatter anmodning, mens der på den anden side DarkMatter hævder, at det aldrig har misbrugt sin TLS-certifikat udstedelse beføjelser til noget dårligt, og derfor er der ingen grund til at behandle det anderledes fra andre CAs, der har anvendt tidligere.
Frygt og paranoia er høje, fordi Mozilla ‘ s liste af trusted root certifikater anvendes også af nogle Linux-distributioner. Mange frygter, at når det er godkendt på Mozilla ‘ s certificate store liste, DarkMatter kan være i stand til at udstede TLS-certifikater, der vil være i stand til at opsnappe trafik på internettet, uden at udløse nogen fejl på nogle Linux systemer, der normalt anvendes i datacentre og cloud udbydere.
I Google Grupper og Bugzilla drøftelser om sin anmodning, DarkMatter har nægtet ethvert forseelser eller til hensigt at gøre det.
Selskabet har allerede fået mulighed for at udstede TLS-certifikater via et mellemled, et firma kaldet QuoVadis, der nu ejes af DigiCert.
Dem, der spørger, Mozilla til at falde DarkMatter anmodning om optagelse i root certificate store var hurtige til at gribe om det faktum, at DarkMatter har allerede misissued et par TLS-certifikater, der allerede er via QuoVadis. Men de fleste synes, tekniske fejl, og de certifikater, der ikke synes at have været misbrugt til noget ondsindet.
“I betragtning af DarkMatter’ s virksomhed interesse i at opfange TLS-kommunikation tilføje dem til trusted root liste virker som en meget dårlig idé,” EFF ‘ s Cooper Quintin sagde i Google Grupper diskussioner. “Jeg vil gå så langt som at tilbagekalde deres mellemliggende certifikat samt, baseret på disse åbenbaringer.”
Quintin udvidet sin frygt i et indlæg på EFF ‘ s blog, der minder Mozilla, at det gik gennem et lignende problem i 2009 med CNNIC, at den Kinesiske regerings officielle CA. Mozilla godkendt CNNIC som en trusted root CA i Firefox i 2009, og CA blev fanget misissuing certifikater til Google-domæner har i 2015, så truslen aktører til at opsnappe trafik beregnet til Google sites-en begivenhed, der fik CNNIC forbudt i de fleste certifikat root butik lister.
Ifølge Mozilla ingeniører, der talte med ZDNet på dybt baggrunden og ikke ønsker at dele deres navne, fordi de ikke var berettiget til at tale på vegne af den organisation, Mozilla er alvorligt overvejer spørgsmålet.
Vi fik at vide, at Mozilla ikke var bekendt af DarkMatter historie på den tid, der anvendes til at være inkluderet i sin rod shop et par måneder tilbage. En Reuters-rapport, der blev offentliggjort i sidste måned, der beskriver DarkMatter ‘ s engagement i at hjælpe den Saudiske regering spion på systemkritikere, som blev til et par hoveder hos Mozilla.
Rapporten udløste kritik af overvågning sælger i de måneder gamle Bugzilla fejlrapport, som førte Mozilla personale til seriøst at overveje at gøre en undtagelse fra det normale CA godkendelsesproces og afslå inddragelse anmodning på trods af manglende beviser for misbrug.
Mozilla har nu åbnet en separat Google Grupper diskussion til at indsamle feedback fra fællesskabet, hvoraf de fleste er, i skrivende stund, har været negative. Vi fik at vide, Mozilla sandsynligvis ville bruge denne kritik som en grund til at falde DarkMatter anmodning i et forsøg på at undgå dårlig presse og anden CNNIC hændelse.
“Mozilla’ s Root Butikken Politik giver os handlefrihed til at tage foranstaltninger, som er baseret på den risiko, at folk, der bruger vores produkter. På trods af manglen på direkte beviser for misissuance af DarkMatter, kan dette være en tid, hvor vi skal bruge vores skøn i interesse for personer, der er afhængige af vores root store,” sagde Mozilla.
Mere browser dækning:
Google backtracks på Chrome ændringer, der ville have lammet ad-blokkere,
En tredjedel af alle Chrome-udvidelser anmode om adgang til brugerens data på et websted
Microsoft Kant lader Facebook køre Flash-kode bag brugernes backsGoogle er at køre en auto-opdatering-til-HTTPS eksperiment i ChromeWindows 10 Tidslinje udvidelse i Chrome, har netop landet fra MicrosoftGoogle arbejder på nye Chrome sikkerhed funktion at ‘udslette DOM XSS’What virksomheder har brug for at vide om den nye Chrom-baseret Kant TechRepublicAd-blokering Modige får hukommelse fordel i forhold til Chrome på nyheder hjemmesider CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre