DigiCert: ameaça de ação legal para conter discussões no Bugzilla

 (bugzilla.mozilla.org)
1 pontos por GN⁺ 2025-02-26 | 1 comentários | Compartilhar no WhatsApp

A ameaça de ação legal da DigiCert

  • Contexto: a DigiCert está tentando conter discussões no Bugzilla por meio de ameaça de ação legal. O diretor de conformidade da Sectigo recebeu um aviso dos advogados da DigiCert sobre uma publicação feita no Bugzilla.

  • Posição da DigiCert: a DigiCert exige que um determinado funcionário da Sectigo pare de fazer declarações negativas e, com isso, busca evitar uma ação legal. A DigiCert espera que essas declarações não façam parte de um plano coordenado e que a Sectigo tome as medidas adequadas.

  • Reação da Sectigo: a Sectigo rebate a alegação da DigiCert e afirma que as declarações em questão não passam de expressão de opinião e não apresentam qualquer problema jurídico. Também destaca que esse tipo de discussão é essencial para a autorregulação da comunidade de PKI.

  • Importância da comunidade de PKI: a comunidade de PKI tem um papel importante em aumentar a segurança das transações na internet e em definir as melhores práticas para indicar de forma intuitiva aos usuários quais sites são seguros. Para isso, são necessárias discussões abertas e livres.

  • Esclarecimento adicional da DigiCert: a DigiCert explica que enviou a carta com a intenção de promover um diálogo público e honesto, e enfatiza que discussões entre concorrentes devem ser justas e baseadas em fatos.

  • Conclusão: tanto a DigiCert quanto a Sectigo reconhecem a importância de discussões abertas e honestas na comunidade de PKI, mas surgem preocupações de que ameaças legais possam sufocar esse tipo de debate. Para a autorregulação da comunidade de PKI, perguntas críticas e discussões são indispensáveis.

Leituras relacionadas

1 comentários

 
GN⁺ 2025-02-26
Comentários do Hacker News
  • A DigiCert já teve casos de revogação de certificados após ultrapassar várias vezes os prazos especificados nos Baseline Requirements
    • Casos recentes incluem atrasos na revogação para satisfazer determinados clientes ou atrasos causados por uma ordem judicial temporária (TRO)
  • Tim Callan, da Sectigo, criticou publicamente os atrasos da DigiCert
    • Há a opinião de que a DigiCert deve deixar sua política de revogação clara para os clientes e garantir que eles possam substituir os certificados a tempo
  • Várias organizações estão expressando preocupação com o problema das revogações atrasadas da DigiCert
    • Tentar resolver o problema com ameaças legais é inadequado, e a DigiCert pode enfrentar uma grande reação negativa
  • O drama da web PKI sempre surpreende
    • As entidades que decidem se confiam em uma CA podem desmantelar com facilidade o negócio de uma CA
    • Se a DigiCert perder esse jogo, isso pode causar grande confusão como a maior CA da internet
  • A resposta jurídica da DigiCert pode acabar causando um prejuízo ainda maior para ela mesma
  • Casos mencionados no Bugzilla
    • Houve um incidente que violou uma premissa crítica de segurança ao não usar sublinhados em registros DNS
    • Isso é considerado um incidente crítico para a segurança
  • As ameaças legais da DigiCert parecem ser uma tentativa de suprimir a fala dos contribuidores da web PKI
    • Há a opinião de que isso vai contra o propósito e os objetivos da organização e que tudo relacionado à DigiCert deveria ser imediatamente revogado
  • A pessoa que causou o bug de validação da DigiCert já pediu demissão
    • A pessoa da Sectigo tentou impedir que o bug fosse fechado para obter mais respostas
  • É importante não mencionar questões legais
    • É necessário deixar que os departamentos jurídicos discutam entre si
  • Há dúvidas sobre por que a DigiCert não contestou a ordem judicial
    • É possível que tenha oferecido condições especiais a um cliente específico
  • A resposta da DigiCert foi tornada pública, e ela afirma que sua intenção era promover uma conversa aberta e honesta
  • Há a opinião de que a resposta jurídica da DigiCert foi um erro de julgamento
    • A Sectigo não sofreu prejuízo ao tratar publicamente dessa questão
  • As autoridades certificadoras recebem grande confiança dos usuários da internet e têm responsabilidades proporcionais
    • Os Baseline Requirements são o padrão mínimo, e quem não os cumpre não merece essa confiança
    • É compreensível que cerca de 70 certificados não tenham podido ser revogados por causa da TRO, mas outras falhas de revogação não são aceitáveis