Mozilla Vakfı, web tarayıcı Firefox’un ve çeşitli uygulamaların geliştirildiği Gecko için yeni bir sertifika doğrulama kütüphanesinin duyurusunu yaptı. Ayrıca, şimdilik Beta aşamasında olan ancak 31 Temmuz’da yayınlanması planlanan yeni Firefox versiyonu Firefox 31 için de, sertifika doğrulamalarında yeni bir ödül programı duyuruldu. Yapılan açıklamaya göre, sadece bu yeni sürümde sertifika doğrulama açıklarını keşfedenlere 10.000 $ ödül vaat ediliyor.
Mozilla, Gecko’da yaptığı değişiklikler sayesinde sertifika kütüphanesinin çok daha güvenli hale geldiğini duyuruyor. Daha önceki kütüphanede 81,865 satır kod bulunduğunu ve Java’dan C’ye otomatik olarak tercüme edilmiş kodlar kullanıldığını söyleyen Mozilla, yeni uygulamada hepsi C++’da hazırlanmış sadece 4,167 satır kod olduğunu ve bu yüzden yeni sertifika doğrulama kütüphanesinin çok daha kolay bir biçimde yönetilebiliyor olacağını vurguluyor. Ayrıca yeni kodlar sayesinde C++’ın RAII gibi hafıza temizleme özelliklerinden de faydalanılabileceği açıklanıyor.
Güvenlik konusunda yapılan açıklamadaysa, Mozilla öncelikli olarak sertifika zincirlerini etkileyen mimariyle ilgilendiklerini ve bir sertifikanın reddedilmesi gerekirken yanlışlıkla kabul edilmesine yol açarak ciddi güvenlik açıklarının oluşmasına yol açan hataları ayıklamak istediklerini söylüyor. Dolayısıyla Firefox’un yeni sürümü Firefox 31 için özel bir ödül programı oluşturulmuş durumda. Sertifika doğrulama süreçlerindeki hataları bulan güvenlik araştırmacılarına 10.000 $’a varan ödüller vaat ediliyor. Güvenlik araştırmacılarının yapmaları gerekense, önce ilgili yönergeleri iyice okumak ve ardından açık testlerine başlamak. Sertifikalandırma hatası bulan araştırmacıların 30 Haziran tarihine dek Mozilla’nın güvenlik ekibiyle temasa geçmeleri gerekmekte.
OpenSSL sisteminde Heartbleed açığı bulunduğundan bu yana, gerek internet firmaları gerekse de web tarayıcısı ve işletim sistemi üreticileri doğrulama sertifika süreçleri konusunda daha da hassas bir tavır ortaya koymaktalar. Dolayısıyla Mozilla’nın bu yeni uygulaması ve ödül programı, güvenlik camiasında olumlu bir adım olarak değerlendiriliyor.