Mozilla zahteva ostrejši nadzor nad podrejenimi overovitelji

adzilla

Če bo predlog Kathleen Wilson, ki je pri Mozilli odgovorna za CA modul (to je programsko opremo, ki skrbi za digitalna potrdila), bo v prihodnje nadzor nad podrejenimi overovitelji (sub-CA) poostren, da ne bi bilo več možno izdajati digitalnih potrdil za napačne namene. Pred nedavnim je namreč prišlo na dan, da je prenovitelj Trustwave prodal podrejeno potrdilo, s katerega pomočjo je kupec nameraval uvesti notranji nadzor nad svojim osebjem.

Če bo predlog sprejet, bodo samostojni podrejeni overovitelji dolžni javno objaviti svoje smernice za certifikate in omogočiti neodvisni tretji strani, da jih preveri, tako kot je trenutna praksa pri CA. Podrejeni overovitelji bi po predlogu bili tudi dolžni objavljati javne sezname vseh izdanih podrejenih certifikatov. Iz takega seznama bi bilo takoj jasno, ali podjetje izdaja  podrejena potrdila tretjim osebam.

Za overovitelje, ki ne želijo, da bi ti podatki bili javno dostopni, nudi predlog naslednjo alternativo: v tem primeru bi bile s pomočjo podaljška EKU (Extended Key Usage) pravice podrejenega overovitelja strogo omejene. Na primer, če bo podrejeni overovitelj želel izdajati potrdila za spletišča,  se bo moral držati imenskih omejitev (RFC 5280), ki  natančno določajo, za katere domene lahko podrejene certifikate izdaja in za katere ne. Če bi kljub temu izdal potrdilo za domene, za katere ni pooblaščen, bi uporabnikov brskalnik tako imel možnost, tako potrdilo odkloniti.

Kdorkoli bi ravnal v nasprotju s pravili Mozille, bi tako tvegal, da se ga bo izločilo  iz programa zaupanja vrednih korenin, kar bi konec koncev pomenilo, da za Mozilline izdelke ni več zaupanja vreden. Overovitelji digitalnih potrdil bi v tem primeru le s težavo obdržali svoj ​​položaj na trgu.