A Mozilla não confia em certificados emitidos por uma empresa acusada de vender serviços de vigilância e de hackers a regimes autoritários. A desenvolvedora do Firefox anunciou que não incluirá os certificados de uma empresa controversa chamada DarkMatter dentro do repositório raiz do navegador. É uma lista interna de entidades aprovadas para emitir o certificado TLS para proteger o tráfego HTTPS criptografado. Portanto, a Mozilla bane empresa suspeita de colaborar com regimes autoritários.
Wayne Thayer, Gerente do Programa de Autoridade Certificadora da Mozilla, fez o anúncio formal
Além de recusar a inclusão do certificado raiz do DarkMatter dentro do Firefox, Thayer também disse que a Mozilla desconfiaria de seis certificados intermediários pertencentes a QuoVadis. Esta foi uma manobra da DarkMatter como um mecanismo temporário para emitir certificados TLS para seus clientes.
Se o certificado raiz do DarkMatter fosse incluído no Firefox, ele teria permitido à empresa emitir falsos certificados TLS como sendo legítimos.
Muitos especialistas em segurança cibernética e defensores da privacidade alertaram a Mozilla que a DarkMatter abusaria dessa posição para ajudar em suas operações de vigilância. Algumas dessas operações foram previamente detalhadas em relatórios da Reuters, do New York Times, do The Intercept e de outras fontes.
A reportagem dizia que operações de hackers eram orquestradas pela DarkMatter. As ações eram contra ativistas de direitos humanos, jornalistas e governos estrangeiros. A DarkMatter, segundo a matéria, fazia isso a pedido do governo do Emirado Árabe Unidos.
DarkMatter contestou anteriormente os relatórios. Um porta-voz da empresa não respondeu a um pedido de comentário.
DESMEMBRAR OS NEGÓCIOS
No entanto, a empresa fez um último esforço para ter seus certificados confiáveis dentro do Firefox. Assim, a DarkMatter tentou desmembrar seus negócios de Autoridade de Certificação (CA) como uma entidade separada chamada DigitalTrust.
No entanto, a mudança veio tarde demais. Além disso, os engenheiros da Mozilla não a compraram. Eles alegaram que tanto a DarkMatter quanto a nova empresa eram administradas pelo mesmo CEO.
Mozilla bane empresa suspeita de colaborar com regimes autoritários
Levando isso em consideração, juntamente com as notícias anteriores sobre as operações de vigilância da empresa, a Mozilla anunciou sua decisão em uma discussão do Google Groups.
Nossa principal responsabilidade é proteger as pessoas que dependem dos produtos Mozilla, disse Thayer.
Acredito que esse enquadramento apóia fortemente a decisão de revogar a confiança nos certificados intermediários do DarkMatter. Existem argumentos sólidos em ambos os lados dessa decisão. Porém, é razoável concluir que continuar a confiar no DarkMatter é um risco significativo para nossos usuários.
Vou abrir um bug solicitando a desconfiança das AC subordinadas da DarkMatter […]. Também recomendarei a negação da solicitação de inclusão pendente e de quaisquer novas solicitações da DigitalTrust.
Da mesma forma, a Mozilla removerá os certificados intermediários do QuoVadis do Firefox em uma atualização futura. Assim, todos os sites que usam certificados TLS adquiridos do DarkMatter exibirão erros de página inteira do HTTPS no Firefox. Eles receberão um alerta impedindo que os usuários acessem seu conteúdo.