Mozilla fjerner rodcertifikater

Artiklen blev oprindeligt publiceret den 20/8/2014

Mozilla har fjernet flere rodcertifikater fra deres liste over godkendte CA-certifikater. Det får betydning for Firefox og andre browsere.

De berørte certifikater er 1024-bit CA-certifikater. De regnes for kryptografisk svage og bliver derfor fjernet fra Mozilla CA certificate list.

Den liste angiver, hvilke rodcertifikater en applikation kan have tillid til. Hvis man bruger servere, som har certifikater, der er signeret med et af de fjernede certifikater, vil der ikke længere være tillid til dem.

Ændringen aktiveres med Firefox 32, som ventes klar omkring den 2. september. Men da en række browsere til fx Linux også bruger listen, vil de også blive berørt.

De fjernede certifikater er fra blandt andre Entrust og Valicert.

Administratoren af listen skriver i et blogindlæg, at man planlægger senere at fjerne flere rodcertifikater. De kommer fra blandt andre GTE CyberTrust, Thawte og VeriSign.

Anbefaling
Systemadministratorer bør undersøge, om deres infrastruktur anvender certifikater, der bygger på signering med de fjernede rodcertifikater.

Links

• Cleanup of 1024-bit CA certificates, blogindlæg fra Kuix.de
• Mozilla CA Certificate Policy