Hej,
flera av er har säkert sett https://groups.google.com/forum/?fromgroups=#! topic/mozilla.dev.security.policy/mirZzYH5_pI vid det här laget.
Nu är jag ingen expert på CA-terminologi och detaljer, men det förefaller som att TeliaSonera vill uppgradera sina redan installerade CA-cert hos Mozilla.
Diskussionen leder i vart fall snabbt över till att TeliaSonera inte borde ha CA-cert installerat i Mozillas truststore över huvud taget.
Och det är väl rätt vettigt... att de inte skall ha, precis som alla andra ISPs.
TeliaSonera måste under alla omständigheter klassas som en ISP i sammanhanget. Och ISPs sitter alltid mellan hosts. SSL är ände-till-ände.
I slutet av tråden, som den ser ut just nu, efterfrågas: "Forward this email to someone from EU authorities and/or Swedish Government you know."
Är detta något DFRI vill engagera sig i?
Jag tycker det är klockrent och har inte så mycket med TeliaSonera att göra som med SSL & Internet överlag.
Vänligen, Martin
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On 2013-03-04 10:26, Martin Millnert wrote:
Hej,
flera av er har säkert sett https://groups.google.com/forum/?fromgroups=#! topic/mozilla.dev.security.policy/mirZzYH5_pI vid det här laget.
Hej Martin,
Detta hade jag missat helt, tack för att du uppmärksammade det!
Nu är jag ingen expert på CA-terminologi och detaljer, men det förefaller som att TeliaSonera vill uppgradera sina redan installerade CA-cert hos Mozilla.
Diskussionen leder i vart fall snabbt över till att TeliaSonera inte borde ha CA-cert installerat i Mozillas truststore över huvud taget.
Och det är väl rätt vettigt... att de inte skall ha, precis som alla andra ISPs.
TeliaSonera måste under alla omständigheter klassas som en ISP i sammanhanget. Och ISPs sitter alltid mellan hosts. SSL är ände-till-ände.
Mycket intressant att de har ett CA redan ja. Reser samma frågor som alltid kring "vertical integration", men med just x509 och tillit. Nej, en ISP bör inte ha ett CA. Men det var förmodligen inte i egenskap av ISP de sökte... Att Mozilla nu ifrågasätter det är förstås bra.
I slutet av tråden, som den ser ut just nu, efterfrågas: "Forward this email to someone from EU authorities and/or Swedish Government you know."
Är detta något DFRI vill engagera sig i?
Jag tycker det är klockrent och har inte så mycket med TeliaSonera att göra som med SSL & Internet överlag.
Vänligen, Martin
Detta är ett utmärkt exempel på en fråga till kommissionen tror jag, helt klart värt att peta i då det är en ny vinkling på två kända problem som krashar och blir ett tredje.
// jwalck
Martin Millnert martin@millnert.se wrote Mon, 04 Mar 2013 10:26:53 +0100:
| Är detta något DFRI vill engagera sig i?
Ja det tycker jag.
Vill du skriva en bloggpost?
On 03/04/2013 10:40 AM, Linus Nordberg wrote:
Martin Millnert martin@millnert.se wrote Mon, 04 Mar 2013 10:26:53 +0100:
| Är detta något DFRI vill engagera sig i?
Ja det tycker jag.
Vill du skriva en bloggpost?
Och skicka in till nästa EDRigram!
//Erik
On 4 mar 2013, at 10:40, Linus Nordberg linus@nordberg.se wrote:
Martin Millnert martin@millnert.se wrote Mon, 04 Mar 2013 10:26:53 +0100:
| Är detta något DFRI vill engagera sig i?
Ja det tycker jag.
Vill du skriva en bloggpost?
Gärna!
Som du föreslog på IRC kan det vara på sin plats att sätta detta in i en större koncept av X.509 och de truststores som finns idag överlag.
Jag tänker närmast på Moxies rätt bra presentation av lägesbilden: http://www.thoughtcrime.org/blog/ssl-and-the-future-of-authenticity/ Och "tillhörande" blackhat-presentation: https://www.google.se/search?q=moxie+blackhat+usa+2011+ssl+and+the+future+of... (kombinationen ofri mjukvara från apple och google tillåter mig inte kopiera youtube-länken direkt på paddan)
Jag har också varit subscribead på en ietf-lista som heter "therightkey" som försöker otrassla allt fail. De är på rev-10 av en standardisering av ett SSL-observasionsprotokoll (sp?) nu. En hel serie av bloggposter, kanske, Linus...
Vänligen, Martin på resande paddfot
Martin Millnert martin@millnert.se wrote Mon, 4 Mar 2013 11:27:21 +0100:
| > Vill du skriva en bloggpost? | | Gärna!
Vad tror du om chanserna för att TeliaSonera, eller någon annan ISP, blir utesluten ur Mozillas lista över CA:s? Har man slängt ut något cert förut baserat på icke-tekniska grunder, dvs ett cert som inte bevisligen signerat något oegentligt? Skulle det var första gången man utesluter en organisation baserat på agerande som inte har med själva certifikatet att göra?
| Som du föreslog på IRC kan det vara på sin plats att sätta detta in i en större koncept av X.509 och de truststores som finns idag överlag.
Det tycker jag skulle vara ett logiskt första steg.
| Jag tänker närmast på Moxies rätt bra presentation av lägesbilden: | http://www.thoughtcrime.org/blog/ssl-and-the-future-of-authenticity/Och "tillhörande" blackhat-presentation: | https://www.google.se/search?q=moxie+blackhat+usa+2011+ssl+and+the+future+of... (kombinationen ofri mjukvara från apple och google tillåter mig inte kopiera youtube-länken direkt på paddan) | | Jag har också varit subscribead på en ietf-lista som heter "therightkey" som försöker otrassla allt fail. | De är på rev-10 av en standardisering av ett SSL-observasionsprotokoll (sp?) nu.
https://datatracker.ietf.org/doc/draft-laurie-pki-sunlight/
| En hel serie av bloggposter, kanske, Linus...
Vi kan väl börja med en?
On Tue, 2013-03-05 at 08:01 +0100, Linus Nordberg wrote:
Martin Millnert martin@millnert.se wrote Mon, 4 Mar 2013 11:27:21 +0100:
| > Vill du skriva en bloggpost? | | Gärna!
Vad tror du om chanserna för att TeliaSonera, eller någon annan ISP, blir utesluten ur Mozillas lista över CA:s?
Bättre om man reser diskussion/frågan om det och t.ex kan hänvisa till EU-direktiv eller whatnot.
Har man slängt ut något cert förut baserat på icke-tekniska grunder, dvs ett cert som inte bevisligen signerat något oegentligt?
Vet ej, men det är inte vad frågan handlar om.
Skulle det var första gången man utesluter en organisation baserat på agerande som inte har med själva certifikatet att göra?
Vet ej, men det är inte heller vad frågan handlar om.
| Som du föreslog på IRC kan det vara på sin plats att sätta detta in i en större koncept av X.509 och de truststores som finns idag överlag.
Det tycker jag skulle vara ett logiskt första steg.
Alltid bra att smida medan järnet är varmt. :)
| Jag tänker närmast på Moxies rätt bra presentation av lägesbilden: | http://www.thoughtcrime.org/blog/ssl-and-the-future-of-authenticity/Och "tillhörande" blackhat-presentation: | https://www.google.se/search?q=moxie+blackhat+usa+2011+ssl+and+the+future+of... (kombinationen ofri mjukvara från apple och google tillåter mig inte kopiera youtube-länken direkt på paddan) | | Jag har också varit subscribead på en ietf-lista som heter "therightkey" som försöker otrassla allt fail. | De är på rev-10 av en standardisering av ett SSL-observasionsprotokoll (sp?) nu.
Just precis.
| En hel serie av bloggposter, kanske, Linus...
Vi kan väl börja med en?
Ja det vore ju en start.
Telia har svarat nu, nyss, så här: """ Please check www.teliasonera.com/newsroom for current and correct information regarding our business as well as our operation in Eurasia. Should concerns still remain happy to discuss.
Reasons to upgrade TeliaSonera CA Root certificate are simply: • Longer validity time for business continuity • Longer key length: 2k -> 4k • New company name: Sonera -> TeliaSonera • New CA hierarchy to stop using Root CA to sign end-entity certificates
This TeliaSonera Root CA issues public certificates only to Swedish and Finnish customers and citizens. Both countries have their own RA and sub CA under the new root: “TeliaSonera Class1 CA v1” for certificates issued from Finland and “TeliaSonera Class2 CA v1” for certificates issued from Sweden. All our processes and certificates are following Mozilla requirements and are validated yearly in Webtrust audit. """
Lite humor-varning på "please check teliasonera.com/newsrom ...": "This is where we publish all our current and past bribes, state surveillance operations and illegal practices"... :P
/M
-
Erik Josefsson -
Jonatan Walck -
Linus Nordberg -
Martin Millnert