Mozilla erwägt Rauswurf der Trustwave CA
Wegen des von Trustwave ausgestellten Schnüffel-Zertifikats fordert ein Bug-Report nun die Entfernung des Herausgeber-Zertifikats aus allen Mozilla-Produkten.
Aus Empörung über das von Trustwave ausgestellte Schnüffel-Zertifikat erstellte heise-Security-Leser Sebastian Wiesinger einen Eintrag in Mozillas Fehlerdatenbank, der die Entfernung des Root-Zertifikats von Trustwave aus allen Mozilla Produkten fordert. Die zuständige Mozilla-Mitarbeiterin Kathleen Wilson hat den Eintrag akzeptiert und eine Stellungnahme von Trustwave eingefordert. Deren Kontaktperson Brian Trzupek hat bereits weitere Informationen angekündigt, die allerdings noch auf eine interne Freigabe warten.
Gestern berichtete heise Security über den ersten bekannt gewordenen Fall, dass ein allgemein akzeptierter Zertifikatsherausgeber ein Herausgeberzertifikat für Überwachungszwecke verkauft hatte. Trustwave versichert zwar, dass es nur diesen einen Fall gegeben habe, jeglicher Missbrauch ausgeschlossen gewesen und dieses Zertifikat auch bereits wieder gesperrt worden sei. Kritiker sehen jedoch trotzdem die Policy verletzt, zu deren Einhaltung sich die Herausgeber verpflichten müssen. Sie besagt unter anderem, dass sie nicht wissentlich Zertifikate ausstellen dürfen, ohne dass die darin aufgeführten Entitäten davon Kenntnis haben.
Interessant in diesem Zusammenhang ist auch, dass Trustwave seine Vorgehensweise als gängige Praxis bei vielen CAs darstellt. Die Firma Symantec, die mit Verisign den größten Zertifikatsherausgeber aufgekauft hat und einer der großen Anbieter von Data Loss Prevention Lösungen ist, fand jedoch bislang keine Möglichkeit, auf die gestern noch vor Erscheinen des Artikels gestellten Fragen zu diesem Thema zu antworten. (ju)
