Официальные представители организации Mozilla готовятся выслать письмо в центры сертификации, которым принадлежат корневые сертификаты, о недопустимости поступков, какой позволила себе компания Trustwave. Напомним, что эта фирма выдала корневой сертификат коммерческой компании для её корпоративной сети. Таким образом, эта неназываемая компания получила возможность прослушивания SSL-трафика всех своих сотрудников, что является типичной атакой типа man-in-the-middle (MITM). В своём обращении специалисты Mozilla называют корневые сертификаты такого вида «MITM-сертификатами».
Данный инцидент вызвал большой общественный резонанс и бурное обсуждение в сообществе экспертов по компьютерной безопасности и представителей компаний. Они начали буквально показывать друг на друга пальцем. Мол, практика выдачи таких сертификатов совсем не нова, многие так делают, просто об этом не принято говорить. Но теперь уже поздно: заварилась такая каша, что «заткнуть фонтан» уже не получится. С проблемой придётся что-то делать.
Ситуацию не спасло даже то, что компания Trustwave добровольно аннулировала этот спорный сертификат и извинилась за инцидент. Проблема ведь совсем в другом: как они посмели вообще его выдать, как такое стало возможно на практике, и как не допустить подобных действий в будущем, в том числе со стороны других центров сертификации. Одного только обещания в стиле «мы больше не будем» со стороны Trustwave недостаточно.
Организация Mozilla решила всё-таки не доводить конфликт до крайности и не штрафовать Trustwave за их бездумный поступок, то есть не отзывать корневой сертификат Trustwave из списка доверенных, что привело бы к аннулировании всех обычных сертификатов, выданных этим центром. Однако, принято решение разослать письмо по всем центрам сертификации с предупреждением, что такие штрафы возможны в будущем.
Позиция такова, что центр сертификации не имеет права выдавать корневой сертификат для MITM или управления трафиком на доменных именах или IP-адресах, которыми этот центр не владеет или которые не контролирует. Каждый центр сертификации, который образован таким образом, должен быть немедленно уничтожен, а все его сертификаты аннулированы, говорится в черновике письме, которое скоро будет закончено и разослано.
