Plus tôt aujourd’hui, nous avons envoyé un courriel à toutes les autorités de certification dans le programme racine de Mozilla afin de clarifier nos attentes autour de la délivrance du certificat. En particulier, nous avons précisé que la délivrance de certificats d’AC subordonnée à des fins d’interception SSL dite man-in-the-middle ou de gestion du trafic est inacceptable. Nous avons dit clairement que cette pratique reste inacceptable même lorsque le déploiement prévu d’un tel certificat est limité à un réseau fermé.

En plus de cette clarification, nous avons fait plusieurs demandes. Nous avons demandé que ces certificats soient révoqués et leurs HSM détruits. Nous avons demandé les numéros de série de ces certificats et des empreintes digitales de leur signatures racines afin que nous, et les autres parties de confiance, puissent détecter et se méfier de ces certificats de sous-AC s’ils en rencontrent. Nous avons demandé que toute AC qui a délivré des certificats de sous-AC satisfasse à ces demandes au plus tard le 27 avril 2012.

Enfin, nous avons réitéré notre conviction que chaque racine est l’ultime responsable de chaque certificat qu’il signe, directement ou par l’intermédiaire de ses subordonnés. La participation au programme de racine de Mozilla est à notre entière discrétion, et nous prendrons toutes les mesures nécessaires pour garder nos utilisateurs en sécurité, jusqu’à et y compris la suppression des certificats racines qui émettent mal, ainsi que les racines qui les contre-signent. Néanmoins, nous pensons que la sécurité est mieux servie lorsque les navigateurs et les AC peuvent travailler ensemble ; nous espérons qu’une communication franche et des attentes claires pourront résoudre ces problèmes avant qu’une telle action soit nécessaire. Nous devons également être diligents dans la recherche de nouvelles façons d’améliorer les systèmes de sécurité du Web. Ces systèmes reposent sur la confiance des utilisateurs du Web et nous avons tous une responsabilité d’être de forts intendants de cette confiance.


Johnathan Nightingale
Directeur Senior de l’ingénierie de Firefox

Sources et références