Begin volgend jaar gaat Mozilla certificaten van WoSign en StartCom volledig uit Firefox verwijderen, zo heeft de browserontwikkelaar aangekondigd. Eerder dit jaar besloot Mozilla al om nieuwe certificaten die door beide certificaatautoriteiten zijn uitgegeven te wantrouwen. Aanleiding voor de maatregel zijn verschillende incidenten die zich bij het uitgeven van ssl-certificaten door WoSign en StartCom hebben voorgedaan.

Certificaatautoriteiten spelen een zeer belangrijke rol bij het vertrouwen op internet. De incidenten bij WoSign hadden dit vertrouwen volgens Mozilla kunnen aantasten. Zo bleek het mogelijk om via een systeem van WoSign certificaten voor domeinen aan te vragen waar de aanvrager niet de eigenaar van was. Deze certificaten zouden vervolgens voor man-in-the-middle-aanvallen gebruikt kunnen worden.

Ook hadden beide certificaatuitgevers fraude gepleegd met de datum van uitgegeven certificaten, om zo een deadline te omzeilen. Om de impact op websites en Firefox-gebruikers te beperken werd besloten om met de lancering van Firefox 51 in januari van dit jaar alleen nieuwe certificaten van WoSign en StartCom niet meer te vertrouwen. Nu laat Mozilla weten dat het ook de rootcertificaten van beide autoriteiten uit de Mozilla Root Store gaat verwijderen.

Daardoor worden alle certificaten van beide autoriteiten niet meer vertrouwd. Dit zorgt ervoor dat Firefox-gebruikers een waarschuwing te zien krijgen bij het bezoeken van websites die van deze certificaten gebruikmaken. Websites die op enige wijze van de rootcertificaten van WoSign en StartCom gebruikmaken krijgen dan ook het dringende verzoek om naar een ander rootcertificaat te migreren. De maatregel zal met Firefox 58 worden ingevoerd, die voor januari 2018 staat gepland. Eerder kondigde Google al een zelfde maatregel aan.