GN⁺: DigiCert: Bugzilla 논의를 억제하기 위한 법적 조치 위협

Hacker News 의견

• DigiCert가 Baseline Requirements에 명시된 기한을 여러 번 넘겨 인증서를 철회한 사례가 있음
  • 최근 사례로는 특정 고객을 만족시키기 위해 철회를 지연하거나, 법원의 임시 금지 명령(TRO)으로 인해 철회가 지연된 경우가 있음
• Sectigo의 Tim Callan이 DigiCert의 지연에 대해 공개적으로 비판했음
  • DigiCert가 고객에게 철회 정책을 명확히 하고, 고객이 제때 인증서를 교체할 수 있도록 해야 한다는 의견이 있음
• DigiCert의 지연 철회 문제에 대해 여러 기관이 우려를 표명하고 있음
  • 법적 위협으로 문제를 해결하려는 시도는 부적절하며, DigiCert가 큰 반발에 직면할 수 있음
• 웹 PKI 드라마는 항상 놀라움을 줌
  • CA를 신뢰할지 결정하는 기관들이 CA 사업을 쉽게 해체할 수 있음
  • DigiCert가 이 게임에서 패배한다면, 인터넷에서 가장 큰 CA로서 큰 혼란을 초래할 수 있음
• DigiCert의 법적 대응은 오히려 그들에게 더 큰 손해를 줄 수 있음
• Bugzilla에서 언급된 사례
  • DNS 레코드에 밑줄을 사용하지 않음으로써 보안에 중요한 가정을 위반한 사건이 있음
  • 이는 보안에 치명적인 사건으로 간주됨
• DigiCert의 법적 위협은 웹 PKI 기여자들의 발언을 억압하려는 시도로 보임
  • 이는 조직의 목적과 목표에 반하는 행동으로, DigiCert와 관련된 모든 것을 즉시 철회해야 한다는 의견이 있음
• DigiCert의 검증 버그를 일으킨 사람은 이미 사임했음
  • Sectigo의 인물은 버그가 닫히지 않도록 하여 더 많은 답변을 얻으려 했음
• 법적 문제를 언급하지 않는 것이 중요함
  • 법적 부서가 서로 논쟁할 수 있도록 하는 것이 필요함
• DigiCert가 법원의 명령에 대해 이의를 제기하지 않은 이유에 대한 의문이 있음
  • 특정 고객에게 특별한 조건을 제공했을 가능성이 있음
• DigiCert의 대응이 공개되었으며, 그들의 의도가 공개적이고 정직한 대화를 촉진하려는 것이라고 주장함
• DigiCert의 법적 대응이 잘못된 판단이라는 의견이 있음
  • Sectigo는 공개적으로 이 문제를 다루면서 손해를 보지 않음
• 인증 기관은 인터넷 사용자에게 큰 신뢰를 받고 있으며, 이에 상응하는 책임이 있음
  • Baseline Requirements는 최소한의 기준이며, 이를 충족하지 못하면 신뢰를 받을 자격이 없음
  • TRO로 인해 약 70개의 인증서를 철회하지 못한 것은 이해되지만, 다른 철회 실패는 용납할 수 없음