Lakse websites krijgen certificaatuitstel van Firefox

De beslissing om Symantec-certificaten niet meer te vertrouwen stond niet op zichzelf. Ook Google kondigde eerder dit jaar aan de certificaten van het Amerikaanse beveiligingsbedrijf en zijn certificaatmerken Thawte, VeriSign, Equifax, GeoTrust en RapidSSL niet meer te vertrouwen.

Volgens de blogpost waarin Mozilla het uitstel aankondigde, heeft nog ruim 1% van de meest bezochte websites geen actie ondernomen na de aankondiging van het bedrijf om de Symantec-certificaten in de ban te doen. 

Gedwongen keuze

Volgens de blogpost van Wayne Thayer, certificate authority program manager van Mozilla, betreurt het bedrijf de keuze tot uitstel, maar is het tot de keuze gedwongen door de eventuele negatieve gevolgen voor Firefox-gebruikers.

“Omdat zoveel sites nog geen actie hebben ondernomen, zou het verplaatsen van deze wijziging van Firefox 63 Nightly naar Beta een aanzienlijk aantal van onze gebruikers beïnvloeden. Het is jammer dat zoveel website-exploitanten hebben gewacht met het bijwerken van hun certificaten, vooral omdat DigiCert gratis vervangingen levert”, zo verklaart Mozilla.

“Wij geven prioriteit aan de veiligheid van onze gebruikers en erkennen het extra risico dat wordt veroorzaakt door een vertraging in de uitvoering van het plan. Gezien de huidige situatie zijn we echter van mening dat het uitstellen van de release van deze wijziging tot later dit jaar, wanneer meer sites hun Symantec TLS-certificaten hebben vervangen, in het algemeen belang van onze gebruikers is. Deze wijziging blijft ingeschakeld in Nightly en we zijn van plan deze in te schakelen in Firefox 64 bèta wanneer deze medio oktober wordt uitgerold.”