Avec Firefox et Thunderbird, Mozilla fait partie de la chaîne de confiance qui permet à un utilisateur d'être sûr qu'il consulte un site légitime et authentique lors d'une connexion sécurisée SSL. Cette chaîne de confiance n'a pas été rompue mais a pris un peu de plomb dans l'aile avec la récente affaire DigiNotar et Comodo avant elle.

De quoi nourrir des inquiétudes supplémentaires, le dénommé ComodoHacker revendique les attaques à l'encontre de ces autorités de certification et laisse entendre que d'autres sont dans le même cas. Citée par ledit pirate, GlobalSign a d'ailleurs pris des précautions le temps d'un audit en interrompant temporairement l'émission de certificats ( retour à la normale prévu pour la semaine prochaine ).


Mozilla fait pression
Une attitude responsable de GlobalSign, et Mozilla espère que d'autres autorités de certification en feront tout autant. Pour cela, Mozilla fait preuve d'une réelle fermeté en demandant aux autorités qui participent à son programme root ( certificat racine ) d'auditer leurs systèmes, d'établir une liste complète de certificats autorisés ou encore de confirmer l'existence d'une authentification à plusieurs facteurs pour tous les comptes liés à l'émission de certificats.

Cela ne rigole pas, Mozilla leur fixe une date butoir au 16 septembre 2011 sous peine de représailles. " La participation au programme root de Mozilla est à notre seule discrétion, et nous prendrons les mesures nécessaires afin d'assurer la sécurité de nos utilisateurs ".

La sanction n'est pas clairement formulée, mais Mozilla laisse entendre que certaines autorités de certification pourraient être " radiées " ( certificat racine révoqué ). Dès lors, les services en ligne en contrat avec ces autorités ne seraient pas reconnus comme sûrs pour l'utilisateur Firefox. De quoi les pousser à se tourner vers une autre autorité.