Het gaat om X.509/PKI-certificaten, schrijft Kai Engert, de CA-lijstmanager van Mozilla. In eerste instantie worden vier certificaten ingetrokken, namelijk van Entrust en ValiCert. Verder staan er nog zeven op de rol om verwijderd te worden van de lijst van Mozilla, van CyberTRust, Thawte Consulting, Verisign en Equifax.

Systeembeheerders wordt aangeraden hun infrastructuur te scannen op het gebruik van de bewuste certificaten en die te vervangen. De komende uitgave van de browser Firefox, nummer 32, zal de nieuwe certificatenlijst gebruiken, waar de bewuste certificaten in ontbreken. Firefox 32 komt 2 september uit.

Ook Fedora Linux wordt geraakt

Veel open source-software gebruiken de genoemde certificaten. Mozilla noemt als voorbeeld de Linux-distro van Fedora. Er zijn alternatieve certificaten uitgegeven om de in te trekken certificaten te vervangen, maar die geven in sommige gevallen problemen. In die gevallen adviseert Mozilla de eigen CA-leverancier te raadplegen.

Het gaat hier onder meer om een vervangend certificaat van Entrust. Het lijkt erop dat applicaties die gebaseerd zijn op OpenSSL en GnuTLS die vervangende certificaten niet gebruiken.

Met de intrekking van de certificaten met een 1024-sleutel wordt het gebruik van de sterkere 2048-encryptiesleutel geforceerd door Mozilla.