Firefox Mozilla-maker juntou Google em se recusar a reconhecer os certificados SSL emitidos pela China Internet Network Information Centre (CNNIC).
Isto vem depois de uma biz segurança no Egito usou um certificado intermediário CNNIC emitido para criar certificados SSL não autorizados que poderiam ser usados para enganar as pessoas para se conectar a falsos Gmail.com ou websites Google.com.
Google, e agora Moz, estão indignados com desleixo do CNNIC no caso. CNNIC é executado pelo governo do Reino Médio, e lida com o registro de nome de domínio .cn, alocação de endereços IP e outras coisas, bem como certificados SSL emissoras dos sites criptografados através de intermediários.
"Depois de analisar as circunstâncias e um debate robusto em nossa lista de discussão pública, concluímos que o comportamento do CNNIC na emissão de um certificado intermediário irrestrita a uma empresa com nenhuma prática de PKI documentados e sem supervisão de como a chave privada foi armazenado ou controlada foi um "prática flagrante", como por CA Certificate Policy Enforcement da Mozilla, "a equipe de segurança Mozilla escreveu em uma quinta-feira blog .
Como consequência do incidente, todos os produtos da Mozilla - incluindo o navegador Firefox eo cliente de e-mail Thunderbird, entre outros - será atualizado para que todos os certificados baseados em CNNIC emitidos a partir de 01 de abril de 2015 é considerado não confiável.
Mozilla disse que também pretende pedir CNNIC para uma lista completa de todos os seus atuais certificados válidos. Todos os certificados emitidos antes de 1 de Abril, que não estão incluídos nesta lista branca também estará sujeito a potencial "novas medidas".
O movimento vem na sequência de uma acção semelhante pelo Google, que na quarta-feira que deixaria de reconhecer a autoridade de certificação CNNIC em uma futura atualização para seu navegador Chrome.
Como resultado dessas ações, os usuários do Chrome e Firefox que tentar se conectar via HTTPS criptografadas para sites que utilizam certificados SSL CNNIC emitidos vai ver mensagens de alerta advertindo-os de que suas conexões podem não ser seguros - mesmo para os bancos on-line, e-commerce lojas e outros sites que gerenciam informações confidenciais.
CNNIC, que gere tanto código de país .cn domínio de nível superior da China e do sistema de nomes de domínio internacionalizados que contêm caracteres chineses, emitiu uma declaração na quinta-feira condenando a proibição do Google:
1. A decisão que o Google tem feito é inaceitável e incompreensível para CNNIC, e, entretanto, CNNIC sinceramente pedir que o Google tiraria os direitos e interesses dos usuários em plena consideração.
2. Para os usuários que CNNIC já emitiram os certificados para, nós garantimos que os seus legítimos direitos e interesses não serão afetados.
Mozilla acrescentou, porém, que CNNIC poderia recuperar sua posição, mas apenas depois de provar que poderia ser confiado com a responsabilidade de gerir uma autoridade de certificação raiz.
"CNNIC podem, se o desejarem, recandidatar-se a plena inclusão na raiz Mozilla ea remoção desta restrição, passando pelo processo de inclusão da Mozilla depois de concluir as etapas adicionais que a comunidade Mozilla podem exigir como resultado deste incidente", equipe de segurança do nonproifit disse. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário