DigiCert : menace de poursuites judiciaires pour freiner les discussions sur Bugzilla

 (bugzilla.mozilla.org)
1 points par GN⁺ 2025-02-26 | 1 commentaires | Partager sur WhatsApp

Menace de poursuites judiciaires de DigiCert

  • Contexte : DigiCert tente de freiner les discussions sur Bugzilla par la menace de poursuites judiciaires. Le directeur de la conformité de Sectigo a reçu un avertissement des avocats de DigiCert au sujet d’un message publié sur Bugzilla.

  • Position de DigiCert : DigiCert demande qu’un employé précis de Sectigo cesse ses déclarations négatives, afin d’éviter toute action en justice. DigiCert espère que ces propos ne font pas partie d’un plan organisé et s’attend à ce que Sectigo prenne les mesures appropriées.

  • Réponse de Sectigo : Sectigo rejette les affirmations de DigiCert et soutient que ces propos relèvent simplement de l’expression d’une opinion et ne posent aucun problème juridique. L’entreprise souligne également que ce type de discussion est essentiel à l’autorégulation de la communauté PKI.

  • Importance de la communauté PKI : La communauté PKI joue un rôle important pour renforcer la sécurité des transactions sur Internet et définir les meilleures pratiques permettant d’indiquer intuitivement aux utilisateurs quels sites sont sûrs. Pour cela, des discussions ouvertes et libres sont nécessaires.

  • Précisions supplémentaires de DigiCert : DigiCert explique avoir envoyé cette lettre dans l’intention de favoriser un dialogue public et honnête, tout en insistant sur le fait que les échanges entre concurrents doivent rester équitables et fondés sur des faits.

  • Conclusion : DigiCert et Sectigo reconnaissent tous deux l’importance de discussions ouvertes et honnêtes au sein de la communauté PKI, mais des inquiétudes émergent quant au fait que les menaces juridiques puissent freiner ces échanges. Des questions critiques et des débats sont indispensables à l’autorégulation de la communauté PKI.

À lire aussi

1 commentaires

 
GN⁺ 2025-02-26
Commentaire Hacker News
  • DigiCert a déjà révoqué des certificats après avoir dépassé à plusieurs reprises les délais définis dans les Baseline Requirements
    • Parmi les cas récents, on trouve des révocations retardées pour satisfaire un client précis, ou retardées à cause d’une ordonnance restrictive temporaire (TRO) d’un tribunal
  • Tim Callan de Sectigo a publiquement critiqué les retards de DigiCert
    • Certains estiment que DigiCert doit clarifier sa politique de révocation auprès de ses clients et faire en sorte qu’ils puissent remplacer leurs certificats à temps
  • Plusieurs organisations ont exprimé leurs inquiétudes concernant le problème des révocations tardives chez DigiCert
    • Tenter de résoudre le problème par des menaces juridiques est inapproprié, et DigiCert pourrait faire face à un fort retour de bâton
  • Le drama du web PKI réserve toujours des surprises
    • Les entités qui décident de faire confiance à une CA peuvent facilement démanteler l’activité d’une CA
    • Si DigiCert perd cette partie, cela pourrait provoquer un chaos majeur sur Internet en tant que plus grande CA du réseau
  • La réponse juridique de DigiCert pourrait au contraire leur causer un préjudice encore plus important
  • Cas mentionnés dans Bugzilla
    • Il y a eu un incident où une hypothèse essentielle de sécurité a été violée en n’utilisant pas de caractère de soulignement dans un enregistrement DNS
    • Cela est considéré comme un incident critique pour la sécurité
  • Les menaces juridiques de DigiCert semblent être une tentative de faire taire les contributeurs du web PKI sur Bugzilla
    • Selon certains, c’est un comportement contraire à la mission et aux objectifs de l’organisation, et tout ce qui est lié à DigiCert devrait être révoqué immédiatement
  • La personne à l’origine du bug de validation chez DigiCert a déjà démissionné
    • La personne de chez Sectigo a essayé d’empêcher la clôture du bug afin d’obtenir davantage de réponses
  • Il est important de ne pas évoquer de questions juridiques
    • Il faut laisser les services juridiques débattre entre eux
  • Des questions sont soulevées sur la raison pour laquelle DigiCert n’a pas contesté l’ordonnance du tribunal
    • Il est possible que des conditions particulières aient été accordées à un client précis
  • La réponse de DigiCert a été rendue publique, et l’entreprise affirme que son intention est de favoriser un dialogue ouvert et honnête
  • Certains estiment que la réponse juridique de DigiCert relève d’une erreur de jugement
    • Sectigo ne subit pas de préjudice en traitant publiquement cette question
  • Les autorités de certification bénéficient d’une grande confiance de la part des internautes, ce qui implique une responsabilité à la hauteur
    • Les Baseline Requirements constituent un minimum ; si elles ne sont pas respectées, cette confiance n’est pas méritée
    • Il est compréhensible qu’environ 70 certificats n’aient pas pu être révoqués à cause du TRO, mais les autres échecs de révocation sont inacceptables