DigiCert: amenaza con acciones legales para frenar la discusión en Bugzilla

 (bugzilla.mozilla.org)
1 puntos por GN⁺ 2025-02-26 | 1 comentarios | Compartir por WhatsApp

Amenaza de acciones legales de DigiCert

  • Contexto: DigiCert está intentando frenar la discusión en Bugzilla mediante la amenaza de acciones legales. El director de cumplimiento de Sectigo recibió una advertencia de los abogados de DigiCert por una publicación hecha en Bugzilla.

  • Postura de DigiCert: DigiCert exige que cierto empleado de Sectigo deje de hacer comentarios negativos, con el fin de evitar acciones legales. DigiCert espera que esos comentarios no formen parte de un plan organizado y que Sectigo tome las medidas adecuadas.

  • Respuesta de Sectigo: Sectigo rechaza las afirmaciones de DigiCert y sostiene que esos comentarios no son más que opiniones y no presentan ningún problema legal. Además, enfatiza que este tipo de discusiones es esencial para la autorregulación de la comunidad PKI.

  • Importancia de la comunidad PKI: La comunidad PKI cumple un papel importante al mejorar la seguridad de las transacciones en internet y al definir las mejores prácticas para mostrar de forma intuitiva a los usuarios qué sitios son seguros. Para ello, se necesitan discusiones abiertas y libres.

  • Aclaración adicional de DigiCert: DigiCert explica que envió la carta con la intención de promover una conversación pública y honesta, y subraya que las discusiones entre competidores deben ser justas y basadas en hechos.

  • Conclusión: Tanto DigiCert como Sectigo reconocen la importancia de una discusión abierta y honesta en la comunidad PKI, pero existe preocupación de que las amenazas legales puedan frenar ese tipo de debate. Para la autorregulación de la comunidad PKI, las preguntas críticas y la discusión son indispensables.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-02-26
Comentarios de Hacker News
  • DigiCert ha tenido casos en los que revocó certificados después de exceder varias veces los plazos establecidos en los Baseline Requirements
    • Entre los casos recientes, hubo situaciones en las que se retrasó la revocación para satisfacer a ciertos clientes, o en las que la revocación se retrasó debido a una orden de restricción temporal (TRO) de un tribunal
  • Tim Callan de Sectigo criticó públicamente los retrasos de DigiCert
    • Existe la opinión de que DigiCert debe dejar clara su política de revocación a los clientes y asegurarse de que puedan reemplazar sus certificados a tiempo
  • Varias entidades han expresado preocupación por el problema de las revocaciones tardías de DigiCert
    • Intentar resolver el problema mediante amenazas legales es inapropiado, y DigiCert podría enfrentar una fuerte reacción adversa
  • El drama del web PKI siempre da sorpresas
    • Las entidades que deciden si confiar en una CA pueden desmantelar fácilmente el negocio de una CA
    • Si DigiCert pierde en este juego, como la CA más grande de internet, podría provocar una gran confusión
  • La respuesta legal de DigiCert podría terminar causándoles un daño aún mayor
  • Casos mencionados en Bugzilla
    • Hubo un incidente que violó un supuesto importante para la seguridad al no usar un guion bajo en un registro DNS
    • Esto se considera un incidente crítico para la seguridad
  • La amenaza legal de DigiCert parece ser un intento de reprimir las declaraciones de los colaboradores del web PKI
    • Se opina que esto va en contra del propósito y los objetivos de la organización, y que todo lo relacionado con DigiCert debería revocarse de inmediato
  • La persona que causó el bug de validación de DigiCert ya renunció
    • La persona de Sectigo intentó evitar que el bug se cerrara para obtener más respuestas
  • Es importante no mencionar asuntos legales
    • Es necesario permitir que los departamentos legales discutan entre sí
  • Hay dudas sobre por qué DigiCert no impugnó la orden judicial
    • Podrían haber ofrecido condiciones especiales a un cliente en particular
  • La respuesta de DigiCert se hizo pública, y afirman que su intención era fomentar una conversación pública y honesta
  • Existe la opinión de que la respuesta legal de DigiCert fue un error de juicio
    • Sectigo no sale perjudicada por tratar este asunto públicamente
  • Las autoridades certificadoras reciben una gran confianza de los usuarios de internet y tienen una responsabilidad proporcional
    • Los Baseline Requirements son el estándar mínimo, y si no se cumplen, no se merece esa confianza
    • Se entiende que no hayan podido revocar alrededor de 70 certificados debido a una TRO, pero otros casos de revocación fallida no son aceptables