DigiCert: Bugzilla tartışmalarını bastırmak için yasal işlem tehdidi

 (bugzilla.mozilla.org)
1 puan yazan GN⁺ 2025-02-26 | 1 yorum | WhatsApp'ta paylaş

DigiCert’in yasal işlem tehdidi

  • Arka plan: DigiCert, Bugzilla’daki tartışmaları yasal işlem yoluyla bastırmaya çalışmakla suçlanıyor. Sectigo’nun baş uyum sorumlusunun Bugzilla’ya yaptığı bir paylaşım nedeniyle DigiCert’in avukatlarından uyarı geldi.

  • DigiCert’in tutumu: DigiCert, Sectigo’daki belirli bir çalışanın olumsuz açıklamalarını durdurmasını talep ediyor ve bunun yasal işlemden kaçınmanın yolu olduğunu belirtiyor. DigiCert, bu açıklamaların organize bir planın parçası olmamasını umduğunu ve Sectigo’nun uygun adımları atmasını beklediğini söylüyor.

  • Sectigo’nun tepkisi: Sectigo, DigiCert’in iddialarına karşı çıkarak söz konusu açıklamaların yalnızca fikir beyanı olduğunu ve hukuken sorun teşkil etmediğini savunuyor. Ayrıca bu tür tartışmaların PKI topluluğunun öz düzenlemesi için vazgeçilmez olduğunu vurguluyor.

  • PKI topluluğunun önemi: PKI topluluğu, internet işlemlerinin güvenliğini artırmada ve güvenli siteleri kullanıcılara sezgisel biçimde gösterecek en iyi uygulamaları tanımlamada önemli bir rol oynuyor. Bunun için açık ve özgür tartışma gerekiyor.

  • DigiCert’in ek açıklaması: DigiCert, mektubu açık ve dürüst diyaloğu teşvik etme amacıyla gönderdiğini, rakipler arasındaki tartışmaların adil ve olgulara dayanması gerektiğini vurguladığını söylüyor.

  • Sonuç: DigiCert ve Sectigo, PKI topluluğunda açık ve dürüst tartışmanın önemini kabul ediyor; ancak yasal tehditlerin bu tartışmaları bastırabileceğine dair kaygılar gündeme geliyor. PKI topluluğunun öz düzenlemesi için eleştirel sorular ve tartışmalar hayati önem taşıyor.

İlgili okumalar

1 yorum

 
GN⁺ 2025-02-26
Hacker News görüşü
  • DigiCert'in Baseline Requirements'ta belirtilen süreleri birçok kez aşıp sertifikaları iptal ettiği vakalar var
    • Yakın tarihli örnekler arasında, belirli bir müşteriyi memnun etmek için iptalin geciktirilmesi veya mahkemenin geçici tedbir kararı (TRO) nedeniyle iptalin gecikmesi yer alıyor
  • Sectigo'dan Tim Callan, DigiCert'in gecikmeleri konusunda kamuoyu önünde eleştiride bulundu
    • DigiCert'in iptal politikasını müşterilere açıkça anlatması ve müşterilerin sertifikaları zamanında değiştirebilmesini sağlaması gerektiği görüşü var
  • DigiCert'in gecikmeli iptal sorununa ilişkin birçok kurum endişe dile getiriyor
    • Sorunu hukuki tehditlerle çözmeye çalışmak uygunsuz görülüyor ve DigiCert ciddi bir tepkiyle karşılaşabilir
  • Web PKI dramı her zaman şaşırtıyor
    • Hangi CA'lara güvenileceğine karar veren kurumlar, CA işini kolayca dağıtabilir
    • DigiCert bu oyunda kaybederse, internetteki en büyük CA olarak büyük bir karmaşaya yol açabilir
  • DigiCert'in hukuki karşılığı, tersine, kendilerine daha büyük zarar verebilir
  • Bugzilla'da anılan vakalar
    • DNS kaydında alt çizgi kullanmayarak güvenlik açısından kritik bir varsayımın ihlal edildiği bir olay var
    • Bu, güvenlik açısından ölümcül bir olay olarak değerlendiriliyor
  • DigiCert'in hukuki tehdidi, web PKI katkıcılarının konuşmalarını bastırma girişimi gibi görünüyor
    • Bunun örgütün amaç ve hedeflerine aykırı bir davranış olduğu ve DigiCert'le ilgili her şeyin derhal geri çekilmesi gerektiği yönünde görüşler var
  • DigiCert'in doğrulama hatasına neden olan kişi zaten istifa etti
    • Sectigo tarafındaki kişi, daha fazla yanıt almak için bug'ın kapatılmamasını istemişti
  • Hukuki meselelerden söz etmemek önemli
    • Hukuk departmanlarının kendi aralarında tartışmasına izin vermek gerekiyor
  • DigiCert'in mahkeme kararına neden itiraz etmediğine dair soru işaretleri var
    • Belirli bir müşteriye özel koşullar sunmuş olabileceği düşünülüyor
  • DigiCert'in yanıtı kamuoyuna açıklandı ve niyetlerinin açık ve dürüst diyaloğu teşvik etmek olduğunu savundular
  • DigiCert'in hukuki karşılığının kötü bir muhakeme örneği olduğu görüşü var
    • Sectigo bu konuyu kamuoyu önünde ele alırken zarar görmedi
  • Sertifika otoriteleri, internet kullanıcılarından büyük bir güven görüyor ve buna karşılık gelen bir sorumluluğa sahip
    • Baseline Requirements asgari standarttır; bunu karşılayamayanlar güvenilmeyi hak etmez
    • TRO nedeniyle yaklaşık 70 sertifikanın iptal edilememesi anlaşılabilir, ancak diğer iptal başarısızlıkları kabul edilemez