Porządki w magazynie certyfikatów Firefoxa

Porządki w magazynie certyfikatów Firefoxa

Mozilla rozpoczyna właśnie drugą fazę usuwania niektórych certyfikatów głównych (root) z zaufanego magazynu swojej przeglądarki. Przyjrzyjmy się temu dlaczego i które certyfikaty zostaną usunięte.

Dlaczego?

Celem obecnej akcji podejmowanej przez Mozillę jest wycofywanie – z zaufanego magazynu – certyfikatów, opartych na niewystarczająco już dzisiaj silnych wartościach kluczy. Mówiąc dokładniej, wycofywane certyfikaty posiadają jeden wspólny mianownik – 1024 bitowe klucze RSA.

Działanie to jest częścią, rozpoczętego dużo wcześniej, procesu prowadzącego do całkowitego zaprzestania wykorzystywania certyfikatów opartych na 1024 bitowych kluczach na wszelkiego rodzaju płaszczyznach.

Które?

Druga faza wycofywania wejdzie w życie wraz z wydaniem 36 wersji Firefoxa i obejmie pięć certyfikatów należących do dwóch Urzędów Certyfikacyjnych (CAs):

  • Verizon
    CN = GTE CyberTrust Global Root
    SHA1 Fingerprint: 97:81:79:50:D8:1C:96:70:CC:34:D8:09:CF:79:44:31:36:7E:F4:74
  • Symantec
    CN = Thawte Server CA
    SHA1 Fingerprint: 23:E5:94:94:51:95:F2:41:48:03:B4:D5:64:D2:A3:A3:F5:D8:8B:8C
    CN = Thawte Premium Server CA
    SHA1 Fingerprint: 62:7F:8D:78:27:65:63:99:D2:7D:7F:90:44:C9:FE:B3:F3:3E:FA:9A
    OU = Class 3 Public Primary Certification Authority – G2
    SHA1 Fingerprint: 85:37:1C:A6:E5:50:14:3D:CE:28:03:47:1B:DE:3A:09:E8:F8:77:0F
    CN = Equifax Secure eBusiness CA-1
    SHA1 Fingerprint: DA:40:18:8B:91:89:A3:ED:EE:AE:DA:97:FE:2F:9D:F5:B7:D1:8A:41

W magazynie Firefox 36 nie zobaczymy już m.in. tego certyfikatu

Przypomnę, że w czasie pierwszej fazy, która została wprowadzona w Firefoxie 32 z magazynu zniknęło osiem certyfikatów z sześciu CAs. Pełną listę usuniętych wtedy certyfikatów można sprawdzić tutaj.

Czy to ma jakikolwiek wpływ na mój certyfikat?

Jeżeli w ścieżce Twojego certyfikatu nie znajduje się żaden z powyższych certyfikatów to nie. Jeżeli tak, powinieneś wymienić certyfikat na taki, którego ścieżka prowadzi do roota wykorzystującego przynajmniej 2048 bitowe klucze.

Przy okazji warto sprawdzić czy certyfikat pośredni, będący wystawcą Twojego certyfikatu również posiada co najmniej 2048 bitowy klucz. Jeżeli nie, tutaj także zalecana jest aktualizacja certyfikatów. Najczęściej jednak wystarczy podmienić certyfikat pośredni na serwerze (w przypadku certyfikatów SSL).

Niektórzy z Was mogą pomyśleć, że takie działanie Mozilli może wpłynąć niekorzystnie na wiele serwisów korzystających z certyfikatów SSL, których rooty zostały lub zostaną usunięte (wiąże się to z komunikatami o braku zaufania dla danego certyfikatu). Otóż, odsetek takich certyfikatów końcowych nie jest duży, a zainteresowane CAs z reguły odpowiednio wcześniej kontaktują się z klientami i wydają im nowe certyfikaty. Dlatego też cały ten proces może przebiec bez większych problemów zarówno dla Urzędów Certyfikacyjnych, przeglądarki i przede wszystkich dla użytkowników końcowych.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *