Firefox: wiele zamieszania z powodu osieroconego certyfikatu

Firefox: wiele zamieszania z powodu osieroconego certyfikatu

Firefox: wiele zamieszania z powodu osieroconego certyfikatu
07.04.2010 16:08

Fundacja Mozilla zamierza usunąć wystawiony przez firmę RSA certyfikat główny (RSA Security 1024 V3) ze zbioru certyfikatów w swoich produktach. Na podstawie certyfikatów głównych i mechanizmu dziedziczenia poświadczeń przeglądarka może np. weryfikować prawdziwość certyfikatów SSL używanych przez serwery

Sprawcą całego zamieszania była Kathleen Wilson, odpowiedzialna w Mozilli za to, jakie certyfikaty trafiają do kolekcji, która jest na wyposażeniu każdej przeglądarki Firefox. W wyniku przeprowadzonych poszukiwań Wilson stwierdziła, że dla omawianego certyfikatu nie da się ustalić właściciela - w wielu bowiem przypadkach wartościowe certyfikaty roota są też przedmiotem dalszej odsprzedaży. Jednak właściciel klucza jest bardzo ważny, między innymi ze względu na cyklicznie prowadzone audyty.

Obraz
© (fot. wp.pl)

W odpowiedzi na pierwsze zapytania skierowane do RSA i Verisign Wilson dowiedziała się, że certyfikat nie należy do żadnej z tych dwóch firm. W następstwie tego niektórzy członkowie grupy dyskusyjnej mozilla.dev.security.policy zaczęli się obawiać, że w jakiś sposób komuś udało się wprowadzić sfałszowany certyfikat do kolekcji prowadzonej przez Mozilla Foundation (i do tej używanej przez Apple'a). Takie podejrzenia szybko jednak okazały się bezpodstawne, ponieważ firma RSA jednak potwierdziła, że to ona jest wystawcą certyfikatu.

Ze względu na to, że pytanie o właściciela w dalszym ciągu pozostawało bez odpowiedzi, Mozilla Foundation nie czekając dłużej zapowiedziała, że certyfikat zostanie usunięty - również z tego powodu, że nie jest jasne, do kogo należy powiązany z nim klucz prywatny. Tutaj po raz kolejny głos zabrała RSA: to jednak my jesteśmy aktualnym właścicielem certyfikatu, a także klucza prywatnego. Certyfikat (ważny do roku 2026) nie jest jednak już potrzebny; Mozilla Foundation może go usunąć. W stanowisku przedstawionym heise Security firma RSA podkreśliła, że wystawiony jeszcze w 2001 roku certyfikat nigdy nie był używany i nie będzie używany w przyszłości.

wydanie internetowe www.heise-online.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (2)