Mozilla rozpoczyna właśnie drugą fazę usuwania niektórych certyfikatów głównych (root) z zaufanego magazynu swojej przeglądarki. Przyjrzyjmy się temu dlaczego i które certyfikaty zostaną usunięte.
Dlaczego?
Celem obecnej akcji podejmowanej przez Mozillę jest wycofywanie – z zaufanego magazynu – certyfikatów, opartych na niewystarczająco już dzisiaj silnych wartościach kluczy. Mówiąc dokładniej, wycofywane certyfikaty posiadają jeden wspólny mianownik – 1024 bitowe klucze RSA.
Działanie to jest częścią, rozpoczętego dużo wcześniej, procesu prowadzącego do całkowitego zaprzestania wykorzystywania certyfikatów opartych na 1024 bitowych kluczach na wszelkiego rodzaju płaszczyznach.
Które?
Druga faza wycofywania wejdzie w życie wraz z wydaniem 36 wersji Firefoxa i obejmie pięć certyfikatów należących do dwóch Urzędów Certyfikacyjnych (CAs):
- Verizon
CN = GTE CyberTrust Global Root
SHA1 Fingerprint: 97:81:79:50:D8:1C:96:70:CC:34:D8:09:CF:79:44:31:36:7E:F4:74
- Symantec
CN = Thawte Server CA
SHA1 Fingerprint: 23:E5:94:94:51:95:F2:41:48:03:B4:D5:64:D2:A3:A3:F5:D8:8B:8C
CN = Thawte Premium Server CA
SHA1 Fingerprint: 62:7F:8D:78:27:65:63:99:D2:7D:7F:90:44:C9:FE:B3:F3:3E:FA:9A
OU = Class 3 Public Primary Certification Authority – G2
SHA1 Fingerprint: 85:37:1C:A6:E5:50:14:3D:CE:28:03:47:1B:DE:3A:09:E8:F8:77:0F
CN = Equifax Secure eBusiness CA-1
SHA1 Fingerprint: DA:40:18:8B:91:89:A3:ED:EE:AE:DA:97:FE:2F:9D:F5:B7:D1:8A:41
Przypomnę, że w czasie pierwszej fazy, która została wprowadzona w Firefoxie 32 z magazynu zniknęło osiem certyfikatów z sześciu CAs. Pełną listę usuniętych wtedy certyfikatów można sprawdzić tutaj.
Czy to ma jakikolwiek wpływ na mój certyfikat?
Jeżeli w ścieżce Twojego certyfikatu nie znajduje się żaden z powyższych certyfikatów to nie. Jeżeli tak, powinieneś wymienić certyfikat na taki, którego ścieżka prowadzi do roota wykorzystującego przynajmniej 2048 bitowe klucze.
Przy okazji warto sprawdzić czy certyfikat pośredni, będący wystawcą Twojego certyfikatu również posiada co najmniej 2048 bitowy klucz. Jeżeli nie, tutaj także zalecana jest aktualizacja certyfikatów. Najczęściej jednak wystarczy podmienić certyfikat pośredni na serwerze (w przypadku certyfikatów SSL).
Niektórzy z Was mogą pomyśleć, że takie działanie Mozilli może wpłynąć niekorzystnie na wiele serwisów korzystających z certyfikatów SSL, których rooty zostały lub zostaną usunięte (wiąże się to z komunikatami o braku zaufania dla danego certyfikatu). Otóż, odsetek takich certyfikatów końcowych nie jest duży, a zainteresowane CAs z reguły odpowiednio wcześniej kontaktują się z klientami i wydają im nowe certyfikaty. Dlatego też cały ten proces może przebiec bez większych problemów zarówno dla Urzędów Certyfikacyjnych, przeglądarki i przede wszystkich dla użytkowników końcowych.