Mozilla周二表示,旗下浏览器Firefox将拒绝信任位于阿拉伯联合酋长国的安全厂商DarkMatter所发出的凭证,理由是该公司协助阿国政府对人权人士进行监控。
Mozilla的凭证机构(Certificate Authority)方案经理Wayne Thayer周二宣布在经过4个月的讨论后,Mozilla做出上述决定。基于DarkMatter的间谍监控活动“有可信及充足消息来源”,Mozilla将不再信任DarkMatter现有6个中间(intermediate)CA凭证。
Mozilla指出,虽然DarkMatter申请尚未进入公开讨论,但否决QuoVadis的中间凭证,可能意味Mozilla将拒绝DarkMatter的申请。
凭证是PKI运行的重要一环,当浏览器信任某个机构发出的根凭证,表示拥有该机构发出的SSL凭证被自动认定为有效,而有凭证签章的网站即被认定为真实,而非钓鱼网站。今年一月DarkMatter向Mozilla请求接受该公司成为Firefox的信任根(root)凭证机构,并且为此独立出专门从事凭证核发的子公司Digital Trust,业务和母公司完全切开。不过在此之前,DarkMatter发出的凭证仍然会被Firefox接受,因为DarkMatter和另一家受信任的根凭证CA QuoVadis做过交互签章,QuoVadis即为中间凭证机构。
但是DarkMatter被多家媒体如Intercept、路透社报导,曾协助阿国政府监控该国人权运动人士、记者及外国政府通信行为,因此从今年初该公司申请加入Firefox根凭证CA白名单时,就在Mozilla内部和社群间引起争议。
Thayer引用Mozilla的根凭证政策指出,Mozilla将依据是否对其用户产生风险,来决定是否接纳某个CA的凭证,这个立场强力支持了注销DarkMatter中间凭证的信任的决定;可以说信任DarkMatter对Mozilla用户将造成极大风险。
在这次决定后,Thayer表示还将要求Mozilla内部不再信任DarkMatter的次级凭证机构(subordinate CA),也会建议拒绝DarkMatter今年初提出的申请及Digital Trust新提出的任何要求。
Mozilla的决定也引起批评,表示指控DarkMatter协助监控行为的“可信及充足消息来源”并不算确切证据,Mozilla决策欠缺理性且流于轻率,而且过份滥用“用户安全”为借口,使得Mozilla对科技社群做出了不好的示范。
DarkMatter并未对此事做出回应。