Mozilla usuwa tureckie CA z zaufanego magazynu certyfikatów

Mozilla usuwa tureckie CA z zaufanego magazynu certyfikatów

Na początku mijającego tygodnia Mozilla zdecydowała o usunięciu ze swojego zaufanego magazynu certyfikatów, certyfikatu należącego do e-Guven, Urzędu Certyfikacji (CA) z Turcji.

Tym razem bez głośnego incydentu

Zwykle, gdy mówimy o usuwaniu jakiegoś CA z listy zaufanych Mozilli lub innych dostawców oprogramowania to najczęściej przyczyną tego jest poważny incydent, który ma bezpośredni wpływ na bezpieczeństwo całej infrastruktury klucza publicznego. Przykładem może być, opisywany niedawno, przypadek chińskiego CA – CNNIC.

Tym razem jednak, tureckie CA nie dopuściło się nadużyć podobnych do jej chińskiego odpowiednika, a mimo to Mozilla podjęła decyzję o usunięcia zaufania dla certyfikatów tego urzędu. Powodem był brak potwierdzenia przejścia odpowiedniego audytu, co jest równoznaczne z brakiem spełnienia wymogów polityki Mozilli.

Niewłaściwy i nieaktualny audyt

Każdy Urząd Certyfikacji, który chce pozostawać rozpoznawany globalnie jako zaufany musi spełnić szereg wymagań. Zgodność weryfikowana jest poprzez różne audyty. Z kolei z wyników takich audytów korzysta m.in. Mozilla przy podejmowaniu decyzji odnośnie dodania czy też pozostawienia danego CA w swoim zaufanym magazynie (nie jest to oczywiście jedyny wyznacznik).

W przypadku, gdy dany Urząd Certyfikacji chce wystawiać certyfikaty SSL, które będą zaufane w produktach Mozilli, fundacja wymaga corocznego potwierdzenia pozytywnego przejścia jednego z dwóch poniższych audytów:

  • ETSI TS 102 042 V2.3.1 lub nowszej wersji
  • WebTrust Principles and Criteria for Certification Authorities 2.0 lub nowszej
Pieczęć WebTrust

Pieczęć WebTrust

E-Guven, co prawda dostarczył oświadczenie o przejściu audytu, ale sprawdzana była zgodność z zapisami ETSI TS 101 456 i ETSI TS 102 023, które w tym przypadku nie mogły zostać uznane przez Mozillę. Dodatkowo audyt ten przeprowadzany był w październiku 2013, więc nie spełniony został także punkt mówiący o konieczności corocznej weryfikacji.

Mozilla próbowała wyjaśnić tę kwestie z tureckim CA jednak bezskutecznie. W związku z czym, po krótkiej dyskusji na forum mozilla.dev.security.policy, decyzja mogła być tylko jedna. Certyfikat należący do e-Guven Elektronik Bilgi Guvenligi A.S. zostanie usunięty z zaufanego magazynu certyfikatów Firefoxa wraz z wydaniem wersji 38.

Certyfikat e-Guven

Certyfikat e-Guven

Sytuacja ta pokazuje, że nie zawsze utrata zaufania musi związana być z głośnym incydentem bezpieczeństwa. Brak potwierdzenia przejścia audytu (czy to ETSI czy WebTrust’a) może oznaczać, że dane CA nie stosuje się do najlepszych praktyk bezpieczeństwa co z kolei może prowadzić do wielu negatywnych skutków. Dlatego też takie przypadki – jak ten opisany w tym wpisie – traktowane są jako poważne naruszenie obowiązujących zasad i niestety, ale prowadzą do przykrych, dla danego CA, konsekwencji.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *