Firefox-ejerne strammer sikkerhedspolitikken – det skal du vide
Mozilla's nye Root Store-politik: Større gennemsigtighed i certifikatøkosystemet
Den lille hængelås i din browsers adresselinje er noget, de fleste af os tager for givet. Men bag denne simple indikator ligger et komplekst system af Certificate Authorities (CAs), der verificerer websider og muliggør sikker kommunikation. Mozilla's Root Store-program styrer præcis, hvilke CAs der får adgang til dette betroede økosystem, og nu har de netop præsenteret version 3.1 af deres Root Store Policy.
En ny tilgang til sikkerhed
Tidligere opdateringer har typisk handlet om tekniske detaljer som certifikat tilbagekaldelse og automatisering. Det er vigtige emner, men også ret tørre at læse om.
Version 3.1 tager en anden vinkel. I stedet for at spørge "hvordan tilbagekalder vi certifikater hurtigere?", stiller Mozilla et mere grundlæggende spørgsmål: "Hvordan sikrer vi os, at CAs faktisk gør det, de påstår?"
Det er et relevant skift. Web PKI (Public Key Infrastructure) udgør fundamentet for websikkerhed, men systemet fungerer kun, hvis vi kan stole på, at CAs dokumenterer og udfører deres arbejde korrekt. Uden gennemsigtighed er verifikation praktisk talt umulig.
Skrappe krav til dokumentation
Fra 1. juli 2026 træder nye dokumentationskrav i kraft. CAs skal fremover levere mere stringent dokumentation i deres Certificate Practice Statements (CPS) og kombinerede Certificate Policy-dokumenter. Kravene er:
- Klare grænser: Ingen vag formulering eller ubegrænsede ansvarsfraskrivelser
- Verificerbar: Dokumentationen skal være detaljeret nok til, at revisorer kan efterprøve praksis
- Vedligeholdt: Versionskontrol og tilgængelighed sikrer løbende ansvarlighed
Forestil dig forskellen mellem en kontrakt med småt, der lover "vi gør vores bedste", og én der tydeligt beskriver ansvar, testprocedurer og succeskriterier. Det handler ikke om at lægge unødig bureaukrati på CAs, men om at sikre at dokumentationen faktisk betyder noget.
For virksomheder giver det større tryghed for, at din certifikatudbyders praksis matcher deres offentlige udmeldinger. Det gør også compliance-audits lettere at håndtere.
Detailed Controls Reports: Åbner for flere detaljer
Den mest betydningsfulde nyhed er introduktionen af Detailed Controls Reports (DCRs), obligatoriske fra 1. juli 2027.
Traditionelle WebTrust- og ETSI-revisioner verificerer overholdelse af standarder, men de giver ofte begrænset indsigt i de specifikke kontroller og testprocedurer, der ligger til grund for konklusionerne.
DCRs ændrer dette. CAs skal nu dokumentere:
- Omfanget og grænserne for deres CA-systemer
- Konkrete implementerede kontroller
- Revisors testprocedurer og resultater
- Eventuelle undtagelser eller mangler
Tænk på det som forskellen mellem en bilinspektion der blot siger "køreklar" og én med detaljerede noter om bremseskivernes tykkelse, dækmønstret og væskeniveauer. Begge består, men den ene giver markant større tryghed.
Hvorfor det har betydning for din virksomhed
Uanset om du driver en startup, administrerer et webhosting-miljø eller bygger applikationer med følsomme data, bør disse ændringer interessere dig.
Større tillid til certifikatudbydere: Når din CA skal levere detaljeret dokumentation og kontrolrapporter, får du en mere solid sikkerhedsfundament at bygge på.
Hurtigere fejlhåndtering: Bedre dokumentation betyder kortere tid på at finde rodårsagen, når noget går galt. Og det gør det – selv hos de bedste udbydere.
Nemmere compliance: Hvis du skal demonstrere sikkerhedspraksis over for kunder, partnere eller myndigheder, styrker et mere transparent CA-økosystem din samlede compliance-positur.
Mindre forsyningskæderisiko: Certifikatøkosystemet er en del af din sikkerhedsforsyningskæde. Stærkere krav upstream betyder et mere sikkert fundament for alle downstream.
Vejen frem
Mozillas opdatering repræsenterer en modning af Web PKI-styringsmodellen. I stedet for blot at tilføje flere tekniske krav adresserer de de menneskelige systemer – dokumentation, revision og ansvarlighedsstrukturer – der gør teknisk sikkerhed meningsfuld.
Hos NameOcean ser vi denne fokus på gennemsigtighed som en gevinst for alle i webøkosystemet. Uanset om du registrerer et domain, konfigurerer SSL-certifikater eller udvikler næste generation af webapplikationer, er disse forbedringer af certifikatinfrastrukturen med til at sikre, at "sikker"-mærket faktisk betyder noget.
Implementeringsdatoerne – 1. juli 2026 for politikændringer og 1. juli 2027 for DCR-krav – giver CAs tid til at tilpasse deres processer. For de fleste websiteejere vil ændringerne være usynlige. Endnu et betroet certifikat, der diskret arbejder i baggrunden. Men bag hængelåsikonet bliver fundamentet stærkere.
Hold dig sikker derude.