Mozilla: Verwaistes root-Zertifikat löst Verwirrung aus

Jonathan Nightingale, Director der Firefox-Entwicklung, hat angekündigt, ein so genanntes root-Zertifikat, das von RSA ausgestellt wurde (RSA Security 1024 V3), zu löschen. Mozilla prüfe regelmäßig die root-Zertifikate. Es sei Teil eines Programms, um das root-Programm auf dem aktuellen Stand und gesund zu halten. Verwirrung gab es, weil in einer Newsgroup behauptet wurde, dass dieses Zertifikat keinen Besitzer habe und sich womöglich eine Fälschung eingeschlichen habe. Auslöser der Diskussion war eine Untersuchung von Kathleen Wilson, die für die Pflege der Mozilla-root-Zertifikate verantwortlich ist. Laut Nightingale handle es sich um keine falsches Zertifikat und Mozilla wisse, woher es kommt. Es wurde vor einigen Jahren ausgestellt. Als man RSA kontaktierte erhielt Mozilla aber zunächst keine klare Aussage, ob das Zertifikat noch in Benutzung sei oder nicht. Diese Zertifikate können wertvoll sein und werden manchmal weiterverkauft. Somit ist es wichtig, den aktuellen Besitzer zu identifizieren.

Mozilla erwarte sogar, dass jedes dieser root-Zertifikate einem Besitzer klar zugeordnet und dieser auch aktiv ist. Da man von RSA diese klaren Aussagen nicht erhielt, werden die Entwickler das Zertifikat aus dem root-Lager entfernen. Mittlerweile wurde von RSA bestätigt, dass das Zertifikat nicht weiter Verwendung findet und somit gelöscht werden könne. Das echte, aber inaktive Zertifikat werde sich noch so lange in der Sicherheits-Bibliothek von Mozillas NSS befinden, bis der Löschvorgang abgeschlossen sei. Das Zertifikat wurde im Jahre 2001 ausgestellt und ist eigentlich noch bis 2026 gültig.

Fragen inwieweit Apple dieses Zertifikat in ihrem System ließe könne er nicht beantworten. Ob Apple auch einen Löschvorgang beantragt, solle man am besten den Software-Hersteller selbst Fragen. Browser benutzen diese root-Zertifikate , um die Echtheit von SSL-Zertifikaten zu verifizieren.