圖片擷取自:https://bugzilla.mozilla.org/show_bug.cgi?id=1564544

Mozilla周二表示,旗下瀏覽器Firefox將拒絕信任位於阿拉伯聯合大公國的安全廠商DarkMatter所發出的憑證,理由是該公司協助阿國政府對人權人士進行監控。

Mozilla的憑證機構(Certificate Authority)方案經理Wayne Thayer周二宣佈在經過4個月的討論後,Mozilla做出上述決定。基於DarkMatter的間諜監控活動「有可信及充足消息來源」,Mozilla將不再信任DarkMatter現有6個中間(intermediate)CA憑證。

Mozilla指出,雖然DarkMatter申請尚未進入公開討論,但否決QuoVadis的中間憑證,可能意謂Mozilla將拒絕DarkMatter的申請。

憑證是PKI運作的重要一環,當瀏覽器信任某個機構發出的根憑證,表示擁有該機構發出的SSL憑證被自動認定為有效,而有憑證簽章的網站即被認定為真實,而非釣魚網站。今年一月DarkMatter向Mozilla請求接受該公司成為Firefox的信任根(root)憑證機構,並且為此獨立出專門從事憑證核發的子公司Digital Trust,業務和母公司完全切開。不過在此之前,DarkMatter發出的憑證仍然會被Firefox接受,因為DarkMatter和另一家受信任的根憑證CA QuoVadis做過交互簽章, QuoVadis即為中間憑證機構。

但是DarkMatter被多家媒體如Intercept路透社報導,曾協助阿國政府監控該國人權運動人士、記者及外國政府通訊行為,因此從今年初該公司申請加入Firefox根憑證CA白名單時,就在Mozilla內部和社群間引起爭議。

Thayer引用Mozilla的根憑證政策指出,Mozilla將依據是否對其用戶產生風險,來決定是否接納某個CA的憑證,這個立場強力支持了註銷DarkMatter中間憑證的信任的決定;可以說信任DarkMatter對Mozilla用戶將造成極大風險。

在這次決定後,Thayer表示還將要求Mozilla內部不再信任DarkMatter的次級憑證機構(subordinate CA),也會建議拒絕DarkMatter今年初提出的申請及Digital Trust新提出的任何要求。

Mozilla的決定也引起批評,表示指控DarkMatter協助監控行為的「可信及充足消息來源」並不算確切證據,Mozilla決策欠缺理性且流於輕率,而且過份濫用「使用者安全」為藉口,使得Mozilla對科技社群做出了不好的示範。

DarkMatter並未對此事做出回應。


Advertisement

更多 iThome相關內容