Der zugehörige Bugreport findet sich hier: https://bugzilla.mozilla.org/show_bug.cgi?id=724929
Die auslösende Meldung hier: http://www.heise.de/security/news/foren/S-Entfernung-der-Root-Zertifikate-von-Trustwave-aus-Mozilla-Produkten/forum-221396/msg-21402570/read/
Dass ein System, in dem hunderte von Zertifizierungsstellen irgendwelchen Leuten, die ihnen ein Fax geschickt und eine Gebühr überwiesen haben, Zertifikate ausstellen, völlig kaputt ist, sollte ja schon länger klar sein.
Aber dass dieses System nicht nur durch Fahrlässigkeit kompromittiert wird (oder per Erpressung durch Geheimdienste oder andere staatliche Akteure), sondern durch gezielten Handel mit Man-in-the-Middle-Zertifikaten, hätte ich nicht für möglich gehalten.
Vor allem, dass die betroffene Firma sich damit rechtfertigt, dass das doch branchenüblich sei.
"Vor allem, dass die betroffene Firma sich damit rechtfertigt, dass das doch branchenüblich sei."
Die Strategie funktioniert aber. Weder taucht diese Firma in dieser Meldung auf noch hat Mozilla diese Firma wirklich bestraft. Warum wohl? Das lässt in der Tat böse Rückschlüsse auf das CA-Ökosystem zu.
Die ganze Aktion fusst letztlich auf dem Bugreport eines Anwenders, der eine Nachricht zu dem Thema gelesen hatte:
http://www.heise.de/security/news/foren/S-Entfernung-der-Root-Zertifikate-von-Trustwave-aus-Mozilla-Produkten/forum-221396/msg-21402570/read/
Der zugehörige Bugreport findet sich hier:
https://bugzilla.mozilla.org/show_bug.cgi?id=724929
Die auslösende Meldung hier:
http://www.heise.de/security/news/foren/S-Entfernung-der-Root-Zertifikate-von-Trustwave-aus-Mozilla-Produkten/forum-221396/msg-21402570/read/
Dass ein System, in dem hunderte von Zertifizierungsstellen irgendwelchen Leuten, die ihnen ein Fax geschickt und eine Gebühr überwiesen haben, Zertifikate ausstellen, völlig kaputt ist, sollte ja schon länger klar sein.
Aber dass dieses System nicht nur durch Fahrlässigkeit kompromittiert wird (oder per Erpressung durch Geheimdienste oder andere staatliche Akteure), sondern durch gezielten Handel mit Man-in-the-Middle-Zertifikaten, hätte ich nicht für möglich gehalten.
Vor allem, dass die betroffene Firma sich damit rechtfertigt, dass das doch branchenüblich sei.
Kaese zum Wein?
"Vor allem, dass die betroffene Firma sich damit rechtfertigt, dass das doch branchenüblich sei."
Die Strategie funktioniert aber.
Weder taucht diese Firma in dieser Meldung auf noch hat Mozilla diese Firma wirklich bestraft.
Warum wohl?
Das lässt in der Tat böse Rückschlüsse auf das CA-Ökosystem zu.
Adobe stellt nach Version 11.2 den FlashPlayer-Support für Linux ein:
http://www.phoronix.com/scan.php?page=news_item&px=MTA2MDc
Google übernimmt zwar, abe nur für Chrome und chromebasierte Webbrowser.
Stehen damit Mozillabrowser in Zukunft ohne FlashPlayer da?
Fragen über Fragen.