DigiCert: Drohung mit rechtlichen Schritten, um Diskussionen in Bugzilla zu unterdrücken

 (bugzilla.mozilla.org)
1 Punkte von GN⁺ 2025-02-26 | 1 Kommentare | Auf WhatsApp teilen

Drohung mit rechtlichen Schritten durch DigiCert

  • Hintergrund: DigiCert versucht, Diskussionen in Bugzilla durch die Androhung rechtlicher Schritte zu unterdrücken. Der Chief Compliance Officer von Sectigo erhielt wegen eines in Bugzilla veröffentlichten Beitrags eine Warnung von den Anwälten von DigiCert.

  • Position von DigiCert: DigiCert verlangt, dass bestimmte Mitarbeiter von Sectigo negative Äußerungen unterlassen, um rechtliche Schritte zu vermeiden. DigiCert hofft, dass solche Äußerungen nicht Teil eines organisierten Plans sind, und erwartet von Sectigo entsprechende Maßnahmen.

  • Reaktion von Sectigo: Sectigo weist die Vorwürfe von DigiCert zurück und argumentiert, dass die betreffenden Äußerungen lediglich Meinungsäußerungen seien und rechtlich unproblematisch wären. Zudem betont das Unternehmen, dass solche Diskussionen für die Selbstregulierung der PKI-Community unverzichtbar sind.

  • Bedeutung der PKI-Community: Die PKI-Community spielt eine wichtige Rolle dabei, die Sicherheit von Internettransaktionen zu erhöhen und Best Practices dafür zu definieren, sichere Websites für Nutzer intuitiv kenntlich zu machen. Dafür sind offene und freie Diskussionen notwendig.

  • Weitere Erläuterung von DigiCert: DigiCert erklärt, den Brief mit der Absicht versendet zu haben, einen offenen und ehrlichen Dialog zu fördern, und betont, dass Diskussionen zwischen Wettbewerbern fair und faktenbasiert sein sollten.

  • Fazit: Sowohl DigiCert als auch Sectigo erkennen die Bedeutung offener und ehrlicher Diskussionen in der PKI-Community an, doch es gibt Bedenken, dass rechtliche Drohungen solche Debatten unterdrücken könnten. Für die Selbstregulierung der PKI-Community sind kritische Fragen und Diskussionen unverzichtbar.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-02-26
Hacker-News-Kommentare
  • Es gab Fälle, in denen DigiCert Zertifikate erst widerrufen hat, nachdem die in den Baseline Requirements festgelegten Fristen mehrfach überschritten wurden
    • Zu den jüngsten Fällen gehören Verzögerungen beim Widerruf, um bestimmte Kunden zufriedenzustellen, oder Verzögerungen aufgrund einer einstweiligen gerichtlichen Verfügung (TRO)
  • Tim Callan von Sectigo hat DigiCerts Verzögerungen öffentlich kritisiert
    • Es gibt die Ansicht, dass DigiCert seine Widerrufsrichtlinien Kunden klar kommunizieren und sicherstellen sollte, dass Kunden Zertifikate rechtzeitig ersetzen können
  • Mehrere Stellen haben wegen DigiCerts verspäteter Widerrufe Bedenken geäußert
    • Der Versuch, das Problem mit rechtlichen Drohungen zu lösen, ist unangemessen, und DigiCert könnte auf erheblichen Widerstand stoßen
  • Das Web-PKI-Drama sorgt immer wieder für Überraschungen
    • Die Stellen, die darüber entscheiden, ob sie einer CA vertrauen, können das CA-Geschäft leicht zerschlagen
    • Wenn DigiCert dieses Spiel verliert, könnte das als größte CA im Internet großes Chaos verursachen
  • DigiCerts juristische Reaktion könnte ihnen am Ende noch größeren Schaden zufügen
  • In Bugzilla erwähnte Fälle
    • Es gab einen Vorfall, bei dem eine sicherheitskritische Annahme verletzt wurde, indem in DNS-Records kein Unterstrich verwendet wurde
    • Dies wird als sicherheitskritischer Vorfall angesehen
  • DigiCerts rechtliche Drohungen wirken wie ein Versuch, die Äußerungen von Mitwirkenden am Web PKI zu unterdrücken
    • Das widerspricht Zweck und Zielen der Organisation, und es gibt die Meinung, dass alles im Zusammenhang mit DigiCert sofort zurückgezogen werden sollte
  • Die Person, die den Validierungs-Bug bei DigiCert verursacht hat, ist bereits zurückgetreten
    • Die Person von Sectigo wollte den Bug offen halten, um weitere Antworten zu erhalten
  • Es ist wichtig, rechtliche Fragen nicht anzusprechen
    • Man sollte die Rechtsabteilungen miteinander streiten lassen
  • Es gibt Fragen dazu, warum DigiCert die gerichtliche Anordnung nicht angefochten hat
    • Möglicherweise wurden einem bestimmten Kunden Sonderkonditionen eingeräumt
  • DigiCerts Stellungnahme wurde veröffentlicht, und das Unternehmen behauptet, seine Absicht sei es, offene und ehrliche Gespräche zu fördern
  • Es gibt die Ansicht, dass DigiCerts juristische Reaktion eine Fehleinschätzung ist
    • Sectigo hat keinen Schaden erlitten, obwohl das Unternehmen das Thema öffentlich behandelt hat
  • Zertifizierungsstellen genießen großes Vertrauen von Internetnutzern und tragen eine entsprechende Verantwortung
    • Die Baseline Requirements sind ein Mindeststandard; wer sie nicht erfüllt, verdient dieses Vertrauen nicht
    • Dass wegen einer TRO rund 70 Zertifikate nicht widerrufen werden konnten, ist nachvollziehbar, andere fehlgeschlagene Widerrufe sind jedoch nicht hinnehmbar