Mozilla предупредила удостоверяющие центры, участвующие в сертификационной программе корневого удостоверяющего центра компании, что у них осталось несколько недель, чтобы начать соответствовать требованиям новых политик компании, которые предписывают УЦ придерживаться базовых требований Форума производителей браузеров и удостоверяющих центров (CA/Browser Forum) и предоставлять доказательства аудитов их нижестоящих сертификатов. Компания внесла изменения в политики в прошлом году, но дала УЦ около года на реализацию изменений, и теперь этот период подходит к концу.

Представители Mozilla начали обсуждать изменения в политиках удостоверяющих центров более двух лет назад, и это вызвало оживленную дискуссию между УЦ. Самое большое изменение заключается в том, что Mozilla хочет, чтобы нижестоящие УЦ, то есть подключенные к корневому сертификату в сертификационной программе компании, подвергались аудиту или имели технические ограничения в использовании их ключей нижестоящими УЦ.

В электронном письме, разосланном УЦ в среду, Кэтлин Вилсон из Mozilla сообщила, что УЦ необходимо до 30 мая прислать ответы, содержащие точную информацию касательно того, как они работают с нижестоящими удостоверяющими центрами.

«Удостоверьтесь в том, что перечень корневых сертификатов Mozilla содержит корректную ссылку на ваш самый свежий акт о проведенном аудите и что дата акта корректна. Как указано в политике поддержки сертификатов удостоверяющего центра Mozilla, мы требуем, чтобы все УЦ, чьи сертификаты распространяются с нашими программными продуктами, ежегодно присылали нам обновленные акты об аттестации их на соответствие требованиям по верификации и другим действующим критериям, проведенной компетентным независимым органом или органами», — сказано в письме.

Эти изменения являются результатом ряда широко известных инцидентов взлома удостоверяющих центров и использования украденных сертификатов в целевых атаках и вредоносных кампаниях. Несколько УЦ, включая DigiNotar и Comodo, были скомпрометированы в последние годы, а в некоторых случаях для важных веб-сайтов были выпущены и использованы в атаках поддельные сертификаты.

Сделанные Mozilla изменения являются шагом в направлении ужесточения контроля над удостоверяющими центрами. Корневые удостоверяющие центры, которые используются в таких браузерах, как Firefox, Internet Explorer и Chrome, не видны пользователю, и он не знает, какие компании стоят за этими УЦ и можно ли им верить. Представители Mozilla рассматривают эти изменения в политике сертификации своего УЦ как путь усиления контроля над деятельностью УЦ.

«Участие в сертификационной программе УЦ Mozilla является нашим добровольным выбором, и мы примем все необходимые меры для обеспечения безопасности наших пользователей. Тем не менее мы считаем, что наилучшим подходом к обеспечению безопасности является работа с УЦ как с партнерами, открытый и откровенный обмен данными и усердный поиск путей улучшения безопасности», — написала Вилсон в письме.

Категории: Кибероборона