Mozilla正在讨论是否停止信任荷兰政府运营的CA机构
荷兰政府近期宣布的新的信息和安全服务法规定自2018年1月1日起赋予该国情报和安全部门更多的新的权利。
其中有条款明确授权该国情报和安全部门可以伪造数字证书,用于劫持和分析经过HTTPS 加密的互联网流量。
对于CA证书颁发机构来说无论是故意还是无意签发假证书都可能会遭到终端厂商例如谷歌的临时或永久除名。
因此荷兰情报和安全部门也并不是那么容易就可以随意伪造证书,除非有CA机构与这些情报部门存在关联性。
比如由荷兰政府关联部门运营的证书颁发机构Staat der Nederlanden, 这并不是个普通的CA证书颁发机构。
实际上该CA仅仅只会面向受信任的服务提供商签发证书,同时该机构亦不会向终端用户也就是网站签发证书。
Mozilla工程师们正在讨论要不要停止信任:
如果只是普通的CA证书机构Mozilla的工程师们估计也没有争论的, 肯定会及时的删除对该机构证书的信任。
不过人家毕竟并不会面向普通的终端用户提供证书,因此也不大可能会为荷兰安全部门提供伪造的数字证书。
同时受信任的服务提供商 (TSP) 每年也必须向安全审计机构提供审计,也无法为终端用户证书进行交叉签名。
从这两方面来看该 CA 机构就无法为安全部门伪造受信证书,因此有工程师并不赞同从火狐里移除对其信任。
目前关于这件事工程师们依然还在讨论中,有兴趣的用户可以前往 Mozilla 社区关注这件事的最新动态内容。