moeyun.net

为什么Mozilla选择维护自己的根证书库
mozilla 维护自己的根证书库用于旗下的产品,例如 FireFox 浏览器;Mozilla 这一做法引发过不少...
扫描右侧二维码阅读全文
05
2019/03

为什么Mozilla选择维护自己的根证书库

mozilla 维护自己的根证书库用于旗下的产品,例如 FireFox 浏览器;Mozilla 这一做法引发过不少争议,尤其是最近 Mozilla 宣布信任一个新的中间证书,该中间证书的拥有者是一个流量监听设备提供商,反对者认为该中间证书可能被滥用,用于解密未经授权的 HTTPS 流量(中间人攻击)。

Mozilla 安全博客发布的文章解释了 Mozilla 为什么维护自己的根证书商店/根证书库,它有 Wayne Thayer 撰写,我们翻译了这篇文章;请见下文。

Mozilla 维护一个包含一组根证书的数据库,我们将其用作“信任锚”。此数据库(通常称为“根证书存储库”)允许我们确定哪些证书颁发机构(CA)可以颁发受 Firefox 信任的 SSL/TLS 证书,以及由 Thunderbird 信任的电子邮件证书。正确维护它是一项重大任务 - 它需要不断努力评估新的信任锚,监控现有信任锚,并对威胁我们用户网络安全的事件做出反应。尽管付出努力,但 Mozilla 仍致力于维护我们自己的根证书库,因为这样做对于我们的产品和 Web 的安全性至关重要。 它使我们能够设置策略(信任标准),确定哪些 CA 符合这个策略,并在 CA发生策略违规时采取措施(例如,签发一个未经授权的证书)。

控制我们自己的根证书库的一个主要优点是-。我们公开管理我们的CA证书课程,并通过鼓励公众参与,我们在这些信任决策中给予个人发言权。我们的根证书信任流程就是一个例子。我们处理大量数据并执行重要的尽职调查,然后发布我们的调查结果并在接受每个新的根证书/中间证书之前进行公开讨论。管理我们自己的根证书库还允许我们建立公共事件报告流程,强调向该领域的专家进行披露和学习。我们的邮件列表包括来自许多CA,CA审核员和其他根证书库运营商的参与者,并且是被最广泛认可的公开讨论证书信任政策/信任标准问题的论坛。

我们的根证书库不仅适用于 Mozilla。无论选择那个浏览器,每个依赖公开信任证书的人都可以从我们的工作中受益。因为我们的根证书库是NSS加密库的一部分,它是开源的,它已经成为许多Linux发行版和其他产品的事实标准,这些产品需要根存储但没有资源来管理它们自己的根证书库。无论平台如何,给许多产品提供一个可以信赖的根证书库,可以减少每个产品具有一组唯一根证书所导致的兼容性问题。

最后,维护根证书库允许 Mozilla 领导并影响整个 Web公钥基础结构(PKI)生态系统。 我们创建了通用证书颁发机构数据库(CCADB)来帮助我们管理自己的程序,并向其他根存储库操作员开放,从而为所有相关人员提供更好的信息,避免重复工作。凭借 CA/B (CA/浏览器论坛)的完全成员资格,我们与其他根存储库运营商,CA和审核员合作,创建标准,继续提高CA及其颁发的SSL/TLS 证书的可信度。我们最近的努力旨在提高验证IP地址的标准

运行自己的根存储库主要替代方案是依赖大多数操作系统(OS)内置的根存储库。但是,依靠我们自己的根存储允许我们在 不同OS平台上提供一致的体验,因为我们可以保证 Firefox 可以使用完全相同的信任锚集合。此外,操作系统供应商除了最终用户之外,还经常为政府和行业中的客户提供服务,有时候,他们会做出 Mozilla 认为不符合个人最佳利益的根存储决策。(例如,信任某个政府机构签发的中间证书/根证书,但是该机构不符合 CA标准)

有时,如果 Firefox 依赖 OS根存储,我们会遇到本来不应该发生的问题。一些公司通常希望将自己的私有信任锚添加到他们控制的系统中,如果他们可以修改操作系统根存储并假设所有应用程序都依赖它,那么它们就更容易了。对于拦截计算机上的流量的产品也是如此。例如,遗憾的是,许多防病毒程序都包含一个Web过滤功能,它通过向OS根存储添加特殊信任锚来拦截/解密HTTPS数据报。这将触发Firefox中的安全错误,除非供应商支持Firefox,方法是通过我们提供的设置来解决这些问题(将私有信任锚添加到 FIREFOX

Mozilla宣言-原则-第四条指出“互联网上的个人安全和隐私是基本的,不能被视为可选的。”。维护 CA证书信任标准和根存储的成本很高,但是毫无疑问,这对我们的用户有很大益处,更大的互联网社区使维护自己的根存储成为 Mozilla 的正确选择。

最后修改:2019 年 05 月 27 日 06 : 44 PM

发表评论