Der Entwickler des Firefox-Browsers, Mozilla, hat angekündigt, dem Zertifizierungsdienstleister Entrust nicht länger als vertrauenswürdige Stammzertifizierungsstelle (CA) zu behandeln. Diese Entscheidung folgt einem ähnlichen Schritt von Google Chrome vor etwa einem Monat.
Die Gründe für den Vertrauensentzug sind vielschichtig. Mozilla dokumentierte allein zwischen März und Mai 2023 22 separate Vorfälle, die hauptsächlich Verzögerungen und verpasste Fristen betrafen. Zudem wurden Entrusts Reaktionen auf frühere Vorfälle aus dem Jahr 2020 und die jüngsten Vorkommnisse als nicht ausreichend erachtet, um das verlorene Vertrauen wiederherzustellen. Mozilla bemängelte insbesondere das Fehlen einer offenen und klaren Darstellung der Fehler und ihrer Ursachen sowie eines detaillierten und glaubwürdigen Plans zur Behebung.
Der Stichtag
Die Auswirkungen dieser Entscheidung werden ab dem 30. November 2024 spürbar sein. Ab diesem Datum wird Mozilla keine neuen Zertifikate von Entrust mehr als vertrauenswürdig einstufen. Bereits ausgestellte Zertifikate bleiben vorerst gültig. Google Chrome wird diesen Schritt bereits einen Monat früher, ab dem 31. Oktober 2024, umsetzen.
Entrust zeigte sich enttäuscht von der Entscheidung, bekräftigte jedoch seine Verpflichtung zur Verbesserung. Das Unternehmen plant, als Registrierungsstelle (RA) in Partnerschaft mit SSL.com weiterzuarbeiten, um seinen Kunden weiterhin digitale Zertifikate anbieten zu können. Diese Lösung ermöglicht es Entrust, im Geschäft zu bleiben, indem es als Reseller für SSL.com-Zertifikate fungiert.
Die Entscheidungen von Mozilla und Google unterstreichen die hohen Anforderungen an Zertifizierungsstellen im Internet-Ökosystem. Zertifizierungsstellen nehmen eine privilegierte und vertrauenswürdige Rolle im Internet ein, die verschlüsselte Verbindungen zwischen Browsern und Websites ermöglicht. Mit dieser enormen Verantwortung geht die Erwartung einher, sich an angemessene und konsensbasierte Sicherheits- und Compliance-Erwartungen zu halten.