Le CTO d'Imperva se dit par ailleurs surpris de la déclaration de Trustwave, selon laquelle cette pratique est courante dans l'industrie. Selon lui, l'appel à des autorités intermédiaires pour surveiller les communications au sein de l'entreprise est irresponsable, compte tenu des conséquences désastreuses au cas où un tel certificat serait dérobé. « Mozilla est en droit d'exiger la fin de cette pratique, » a-t-il ajouté.

Étendre le domaine de la lutte


Toutefois, Amichai Shulman pense que Mozilla aura besoin de l'appui des autres éditeurs de navigateur Internet pour faire appliquer cette mesure. En cas de violation de ces règles, Mozilla supprimera de ses produits le certificat émis par l'autorité de certification concernée. La conséquence, c'est que les utilisateurs ne seront plus en mesure d'accéder aux sites sécurisés par les certificats de cette autorité particulière. « Si les utilisateurs ne voient pas les mêmes messages d'erreurs qui les empêchent d'accéder à ces sites dans tous les navigateurs, ils penseront que le problème vient de Firefox et utiliseront un autre navigateur, » a déclaré le CTO d'Imperva.

D'autres intervenants sur la liste de diffusion mozilla.dev.security.policy ne sont pas d'accord avec ce délai de grâce. Parmi les motifs invoqués, ceux-ci estiment que les entreprises qui surveillent le trafic SSL pourraient tout simplement cesser de le faire jusqu'à ce qu'elles trouvent une solution alternative. D'autres pensent que Mozilla ne devrait pas prévenir les autorités de certifications pour leur demander de cesser une pratique qui viole clairement sa politique. «  Mozilla a des règles et il n'y a aucune raison d'exiger quelque chose qui répond à sa politique, » a déclaré Eddy Nigg, CTO de StartCom et de StartSSL dans un courriel posté sur la liste de diffusion. « La politique de Mozilla n'a pas changé et je conseillerais à l'éditeur de l'appliquer. C'est aussi simple que ça. »