HARD CORE SECURITY LAB

W skład otwartej biblioteki NSS (Network Security Services), która implementuje między innymi protokoły SSL oraz TLS, wchodzi certyfikat nadrzędny (ang. root certificate) RSA Security 1024 V3. Nie byłoby w tym nic dziwnego, gdyby nie fakt, że organizacja RSA Security zaprzeczyła temu, jakoby ten certyfikat rzeczywiście posiadała. Z Network Security Services korzysta między innymi Mozilla Firefox, w efekcie czego, każdy z użytkowników tego programu ma w swym systemie wspomniany certyfikat niewiadomego pochodzenia.

Informacje o podejrzanym certyfikacie upubliczniła niedawno Kathleen Wilson. Odpowiedni raport pojawił się już również w ramach serwisu Bugzilla. W całej sprawie chodzi o certyfikat RSA Security 1024 V3:

• OU = RSA Security 1024 V3
• O = RSA Security Inc
• Valid From: 2/22/01
• Valid To: 2/22/26
• SHA1 Fingerprint: 3C:BB:5D:E0:FC:D6:39:7C:05:88:E5:66:97:BD:46:2A:BD:F9:5C:76

Cała sprawa jest bardzo tajemnicza i budzi wiele emocji. Przede wszystkim jak to możliwe, że certyfikat ten jest przez Mozillę dystrybuowany? Po drugie, czy certyfikat ten nie był przypadkiem przez kogoś wykorzystywany do fałszywego poświadczania tożsamości serwerów internetowych? Wszystkie klucze publiczne podpisane wspomnianym certyfikatem typu root certificate były bowiem przez cały czas traktowane przez przeglądarkę Firefox jako zaufane...

Przypomnijmy, że Mozilla Firefox (podobnie do innych popularnych przeglądarek) ostrzega nas w przypadku odwiedzenia niezaufanej witryny za pomocą odpowiedniego komunikatu:
Natomiast, jeśli klucz publiczny serwera został podpisany jednym ze znanych Firefoksowi certyfikatów nadrzędnych, połączenie zostanie prawidłowo nawiązane.