Pierwsze w tym roku CA Communication Mozilli

Pierwsze w tym roku CA Communication Mozilli

Od ponad pięciu lat Mozilla przesyła do Urzędów Certyfikacji (CAs) wiadomości z prośbą o ustosunkowanie się wskazanych przez fundację kwestii. CA Communications, bo taką nazwę przyjęła ta praktyka, wczoraj ponownie trafiły do zainteresowanych.

CA Communication

Communications wysyłane są tylko do tych Urzędów Certyfikacyjnych, które są członkami Mozilla’s CA Certificate Program. W wiadomościach tych CAs proszone są o odniesienie się do wskazanych kwestii (z reguły jest ich kilka). Zagadnienia najczęściej dotyczą tematów związanych z najlepszymi praktykami bezpieczeństwa czy zgodnością z najnowszymi standardami, ale zdarzają się i pytania o kwestie organizacyjne. Przeważnie do każdej kwestii Mozilla dołącza zestaw kilku podpowiedzi, wśród których mogą wybierać CAs. W przypadku, gdy żadna z nich nie oddaje w 100% rzeczywistego stanu rzeczy, możliwe jest dodawanie własnych komentarzy doprecyzowujących dany temat.

Fundacja wykorzystuje właśnie taką metodę komunikacji z Urzędami Certyfikacji od 2009 roku, a najnowsze Communications są dwunastymi z kolei. Jak można wywnioskować z poprzedniego zdania, Communications nie są przesyłane bardzo często. Średnio jest to tylko dwa razy w roku. Rekordowy pod tym względem był rok 2011 w którym to CAs musiały aż cztery razy odpowiadać na pytania Mozilli. Dla porównania w poprzednim roku tylko raz.

Niewątpliwą zaletą CA Communication jest to, że cała komunikacja jest dostępna publicznie. Listę archiwalnych odpowiedzi pytań i odpowiedzi dla poszczególnych Communications można znaleźć tutaj.

Mozilla

The Mozilla Foundation

Stosowanie właśnie takiej metody komunikacji z Urzędami Certyfikacji pozwala Mozilli może trzymać rękę na pulsie co przekłada się z pewnością na bezpieczeństwo użytkowników.

O co pyta Mozilla tym razem?

W przesłanej wczoraj wiadomości do Urzędów Certyfikacji Mozilla porusza pięć kwestii:

  1. Prośbę o potwierdzenie tzw. Głównego Punktu Konktaktowego  (Primary POC – Point of Contact). W skrócie, POC to osoba/y, które wyznaczone są do kontaktowana się z Mozillą, w tym do przedstawiania opinii na dane tematy, w imieniu danego CA.
  2. Weryfikacja tego czy fundacja jest w posiadaniu aktualnego audyt zgodności z wymaganiami CABForum.
  3. Przekazanie informacji na temat aktualnego statusu wycofywania funkcji skrótu SHA-1 z użycia.
  4. Weryfikacja wydawanych certyfikatów pod kątem pewnej grupy problemów wynikłych podczas migracji Mozilli do nowej biblioteki kryptograficznej mozilla:pkix.
  5. Określenie planów wsparcia dla IPv6.

Na udzielenie odpowiedzi wszystkie Urzędy Certyfikacji mają czas do 5 czerwca 2015.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *