Mozilla的安全团队在最近要求将已知的监视供应商添加到Firefox的内部HTTPS证书颁发者内部列表中时，陷入困境。

供应商被命名为DarkMatter，基于我们已经知道，卖的监视和黑客服务，压迫人民的政权在中东[阿联酋一网络安全公司1，2，3 ]。

几个月前，DarkMatter提交了一个错误报告，要求将自己的根证书添加到Firefox的证书存储中-这是证书颁发机构(CA)的内部列表。

CA是经批准可以发布新的TLS证书(支持加密HTTPS通信的机制)的公司，组织和其他实体。

Mozilla使用此证书存储区来了解在Firefox和Thunderbird中加载加密内容时信任哪些TLS证书，类似于Apple，Google和Microsoft都使用自己的证书存储区来知道哪些内容信任自己的产品。

在这些根存储中添加了根证书的组织可以发布由这些主要公司及其各自的浏览器自动信任的新证书。

当前，Mozilla被困在一块石头和一块坚硬的地方之间，因为DarkMatter拥有不可靠的操作历史，但作为CA的历史也很干净，没有任何已知的滥用。

一方面，Mozilla受到电子前沿基金会，国际特赦组织和The Intercept等组织的压力，拒绝了DarkMatter的请求，而另一方面，DarkMatter声称它从未滥用TLS证书发行权来处理任何不良情况，因此没有理由予以对待。这与过去应用的其他CA有所不同。

由于Mozilla的受信任的根证书列表也被某些Linux发行版所使用，因此恐惧和偏执情绪很高。许多人担心，一旦在Mozilla的证书存储列表中获得批准，DarkMatter可能能够发行TLS证书，从而能够拦截互联网流量，而不会在通常部署在数据中心和云服务提供商中的某些Linux系统上触发任何错误。

在Google网上论坛和Bugzilla根据要求进行的讨论中，DarkMatter否认有任何不当行为或意图这样做。

该公司已经被授予通过中介机构TLS证书颁发能力，该中介机构称为QuoVadis，现在由DigiCert拥有。

那些要求Mozilla拒绝DarkMatter包含在根证书存储中的请求的人，很快就抓住了DarkMatter已经通过QuoVadis发布了一些TLS证书的事实。但是，大多数似乎是技术错误，并且证书似乎并未因任何恶意而被滥用。

EFF的库珀·昆廷(Cooper Quintin)在Google网上论坛的讨论中说：“鉴于DarkMatter在拦截TLS通信中将其添加到受信任的根列表中的商业兴趣，似乎是一个非常糟糕的主意。” 基于这些启示，我甚至还将撤销他们的中间证书。”

昆汀在EFF博客上的帖子中表达了他的担忧，提醒Mozilla于2009年与中国政府的官方CA CNNIC发生了类似的问题。Mozilla于2009年批准CNNIC成为Firefox中受信任的根CA，并且该CA在2015年被发现为Google域发布了错误的证书，从而允许威胁行为者拦截旨在访问Google站点的流量-这一事件使CNNIC被禁止在大多数证书根存储列表中。

Mozilla的工程师与ZDNet进行了深入的交流，他们不愿透露姓名，因为他们无权代表该组织发言。据Mozilla称，Mozilla正在认真考虑这一问题。

我们被告知，Mozilla在几个月前申请将其包含在其根存储中时还不了解DarkMatter的历史。一个路透社的报道描述DarkMatter在帮助沙特政府间谍持不同政见者的参与上个月发表翻了几头Mozilla的。

该报告在长达数月的Bugzilla错误报告中激起了监视供应商的批评，该报告导致Mozilla员工认真考虑对其正常的CA批准流程进行例外处理，并在没有任何滥用证据的情况下拒绝加入请求。

Mozilla现在已经打开了一个单独的Google网上论坛讨论，以收集来自社区的更多反馈，在撰写本文时，大多数反馈都是负面的。有人告诉我们Mozilla最有可能将这种批评作为拒绝DarkMatter要求的理由，以免造成负面新闻和另一起CNNIC事件。

“ Mozilla的“根目录存储政策”赋予我们酌情权，根据对使用我们产品的用户的风险采取行动。尽管缺乏DarkMatter误发布的直接证据，但这也许是我们应该出于自己的利益采取行动的时候。依赖我们的根存储的个人的数量，” Mozilla说。