SSL-GAU: Mozilla gesteht Fehler bei Informationspolitik ein

Obwohl Mozilla beim gerade veröffentlichten Firefox 4 sowie mit Updates für Firefox 3.5/3.6 auf die Kompromittierung von Comodos Certificate Authority reagiert hat, hat die Organisation kaum eigene Erkenntnisse dazu veröffentlicht. In einem Blog-Posting legt Mozilla nun nach und bezeichnet das eigene Verhalten als Fehler.

Wie die Autoren schreiben, hatte Comodo bereits am Morgen des 16. März über die Gefahr informiert. Anschließend zog Mozilla mit dem Einbau einer Blacklist die Konsequenzen und veröffentlichte am 22. März Firefox 4 sowie die Updates für Version 3.5 und 3.6.

Parallel zur Veröffentlichung erläuterte Mozilla einige Informationen zu diesen Anpassungen in einer Release Note. Mozilla war etwa besorgt, dass der Angreifer die gerade eingefügten Sicherheitsmaßnahmen blockieren könnte. Im Nachhinein war diese Informationspolitik aber die falsche Entscheidung, geben die Mozilla-Mitarbeiter zu: Man hätte die Nutzer viel schneller über die Bedrohung, die mögliche Schadensbegrenzung sowie über die damit zusammenhängenden Folgen informieren sollen.

Des Weiteren habe Mozilla Commdo aufgefordert, einen vollständigen Bericht des Vorfalls zu veröffentlichen, das Online Certificate Status Protocol (OCSP) auf Zugriffe auf die Zertifikate zu überwachen und die Registration Authority (RA) stillzulegen. Laut Mozilla hat Comodo diese drei Forderungen erfüllt. Bei der Überwachung des OCSP gab es keine Anzeichen auf eine Nutzung oder Blockade der betroffenen Zertifikate. Als letzten Punkt fordert Mozilla, dass Comodo Zwischenzertifikate (intermediate certs) anstelle der Root-Zertifikate nutzt sowie jede RA mit eigenen betreibt. (rek)