-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On 2013-03-04 10:26, Martin Millnert wrote:
Hej,
flera av er har säkert sett https://groups.google.com/forum/?fromgroups=#! topic/mozilla.dev.security.policy/mirZzYH5_pI vid det här laget.
Hej Martin,
Detta hade jag missat helt, tack för att du uppmärksammade det!
Nu är jag ingen expert på CA-terminologi och detaljer, men det förefaller som att TeliaSonera vill uppgradera sina redan installerade CA-cert hos Mozilla.
Diskussionen leder i vart fall snabbt över till att TeliaSonera inte borde ha CA-cert installerat i Mozillas truststore över huvud taget.
Och det är väl rätt vettigt... att de inte skall ha, precis som alla andra ISPs.
TeliaSonera måste under alla omständigheter klassas som en ISP i sammanhanget. Och ISPs sitter alltid mellan hosts. SSL är ände-till-ände.
Mycket intressant att de har ett CA redan ja. Reser samma frågor som alltid kring "vertical integration", men med just x509 och tillit. Nej, en ISP bör inte ha ett CA. Men det var förmodligen inte i egenskap av ISP de sökte... Att Mozilla nu ifrågasätter det är förstås bra.
I slutet av tråden, som den ser ut just nu, efterfrågas: "Forward this email to someone from EU authorities and/or Swedish Government you know."
Är detta något DFRI vill engagera sig i?
Jag tycker det är klockrent och har inte så mycket med TeliaSonera att göra som med SSL & Internet överlag.
Vänligen, Martin
Detta är ett utmärkt exempel på en fråga till kommissionen tror jag, helt klart värt att peta i då det är en ny vinkling på två kända problem som krashar och blir ett tredje.
// jwalck