Mozilla fordert schärfere Kontrollen von Sub-CAs

Sub-CAs sollen nach dem Willen der für das CA-Modul der Mozilla-Software zuständigen Kathleen Wilson künftig noch schärfer kontrolliert werden, um zu verhindern, dass weitere Sub-CA-Zertifikate zu Überwachungszwecken herausgegeben werden. Vor Kurzem wurde bekannt, dass die Zertifizierungsstelle Trustwave ein Sub-CA-Zertifikat zur Mitarbeiter-Überwachung an ein Unternehmen verkauft hatte.

Setzt sich der Vorschlag durch, müssen extern betriebene Sub-CAs ihre Sicherheitsrichtlinien (Certificate Policy) offenlegen und von einer unabhängigen Einrichtung verifizieren lassen, genauso wie das bereits bei Stammzertifizierungsstellen (CAs) praktiziert wird. Zudem müssen CAs nach dem Vorschlag öffentlich zugängliche Listen mit allen ausgestellten Sub-CA-Zertifikaten (auch Intermediate-Zertifikate genannt) führen. Ein Unternehmen, das eigentlich gar keine Zertifikate an Dritte ausstellt, würde in einer solchen Liste sofort auffallen.

Alternativ können die CAs die Rechte der Sub-CAs nach dem Vorschlag durch die Extended-Key-Usage-Erweiterung (EKU) stark einschränken, wollen sie sich der Offenlegung entziehen. Soll eine Sub-CA etwa Webseitenzertifikate ausstellen, muss die CA mittels Name Contraints (RFC 5280) künftig exakt vorgeben, für welche Domains der Ableger Zertifikate ausstellen darf. Stellt die Sub-CA trotzdem Zertifikate für andere Domains aus, werden diese vom Browser zurückgewiesen.

Wer sich nicht an die von Mozilla auferlegten Spielregeln hält, riskiert einen Ausschluss aus dem Trusted-Root-Programm – Mozilla-Produkte würden die CA künftig nicht mehr als vertrauenswürdig einstufen, wodurch die Stammzertifizierungsstelle auf dem Markt kaum noch Fuß fassen kann. (rei)