Bo Mozilla zaupala kitajskemu CA?

Slashdot - Med razvijalci Mozille poteka zanimiva debata, ali naj kitajski CNNIC ostane na seznamu zaupanja vrednih overiteljev digitalnih potrdil (CA-jev) ali ne. CA-ji so pomemben steber varnosti na internetu, saj brez njih komunikacija po varnih kanalih s šifriranjem ne bi bila varna. Ko se brskalnik poveže na neko stran, ki uporablja šifrirano komunikacijo (s predpono https), bo strežnik najprej pokazal, da pozna določen ključ za enkripcijo. V drugi fazi pa bo moral dokazati svojo istovetnost, kar se stori z digitalnim certifikatom (cert), ki ga podeli eden izmed zaupanja vrednih CA-jev. Če zaupamo CA-ju, potem ta jamči, da je strežnik res, za kogar se predstavlja, in da ključ ni poznan nikomur drugemu. V nasprotnem primeru je povezava res lahko varna, a kaj ko je na drugi strani lažna stran.

Od lanskega oktobra je v seznamu zaupanja vrednih CA-jev v Mozilli tudi kitajski CNNIC (China Internet Network Information Center). Mnogi so takrat uvrstitvi CNNIC-a v to elitno druščino nasprotovali, saj naj ne bi šlo za nepristranski organ. Podobne debate se porajajo tudi sedaj. Če bi bil CNNIC pod nadzorom in vplivom kitajske vlade, bi ga ta lahko uporabila za prisluškovanje. Kitajski uporabnik bi se želel povezati na Gmail, a bi ga preusmerili na lažno stran. Ta bi imela od CNNIC-a podpisan certifikat, da gre za Google, in uporabnik ne bi nikoli posumil, da se dogaja nekaj čudnega.

Nasprotniki izbrisa pravijo, da so na seznamu že mnogi CA-ji, ki so povezani z vladami ali so dejansko vladni. Odpisati CNNIC le zato, ker je kitajski, se zdi nekako nepravično. Debata tako ni le nepomembna tehnična podrobnost, ampak pomembna odločitev, komu v današnjem svetu velja zaupati. Problem je razdrobljenost trenutnega sistema, saj lahko katerikoli zaupanja vreden CA kateremukoli uporabniko jamči, da se katerikoli strežnik nahaja na kateremkoli naslovu. Prave rešitve za vse uporabnike ni.