Telegiganten TeliaSonera har bedt Mozilla om at inkludere sit nye rod-certifikat i Firefox-browserens liste over legitime Certificate Authorities (CA'er). Det er en forudsætning for, at websites med SSL-certifikater fra TeliaSonera kan oprette en krypteret forbindelse til Firefox-browsere.
Godkendelsen burde være en rutinesag. Men nu ser det ud til, at det kan udvikle sig til en pinlig affære for teleselskabet. Det skriver The Register. Mozilla har, som man altid gør, bedt sine brugere om at komme med deres synspunkter. Men reaktionerne fra brugerne har mildest talt været blandede.
Flere brugere henviser til en svensk dokumentar-udsendelse, hvor TeliaSonera bliver anklaget for at sælge overvågnings-teknologi til lande som Hviderusland, Usbekistan, Aserbadsjan og Georgien.
Det er en gammel historie, som tidligere har været omtalt i Slate og et blogindlæg fra organisationen Electronic Frontier Foundation.
Men nu kan sagen blive et aktuelt problem for TeliaSonera. Flere brugere opfordrer til, at Mozilla bør afvise at godkende det nye rod-certifikat fra teleselskabet.
Når browseren besøger en HTTPS-beskyttet webside - som f.eks. en netbank - skal den verificere, at den har kontakt med den rigtige side, og ikke en falsk kopi-hjemmeside.
Det sker ved at webstedet sender sit SSL-certifikat, der fungerer som et slags id-kort, til browseren, som så kontrollerer ægtheden med rod-certifikatet fra det selskab der har udstedt SSL-id'en.
Hvis Mozilla vælger at afvise TeliaSonera's nye certifikat, vil Firefox-brugere som besøger et websted med et SSL-certifikat der er genereret under det nye rod-certifikat modtage en stærk advarsel. Det kan blive et stort problem for TeliaSonera.
En talsmand for teleselskabet siger til The Register, at man er "bekymret" over Mozillas håndtering af sagen og understreger at TeliaSonera kun imødekommer lovlige henvendelser fra myndighederne. Nu vil teleselskabet forsøge at løse problemet i en dialog med Mozilla.
Men Mozilla frygter tilsyneladende, at TeliaSonera har udstedt certifikater som diktatur-stater kan bruge til at opfange krypteret webtrafik til legitime websteder.
Mozilla-programchef Kathleen Wilson hævder at der er beviser for, at TeliaSonera har solgt software, tjenester eller enheder til tvivlsomme regimer, der kan bruges til at aflytte krypteret kommunikation.
Hun mener at der bør indføres en politik om, at CA'er ikke må sælge teknologi til lande som undertrykker deres egen befolkning.
