Mozilla is gevraagd het vertrouwen in de rootcertificaatautoriteit Staat der Nederlanden op te zeggen vanwege de komst van de nieuwe Wet op de inlichtingendiensten. De 'overheids-CA' zou man-in-the-middle-aanvallen mogelijk maken.

Op Bugzilla van Mozilla is een ticket aangemaakt met het verzoek het vertrouwen in de certificaatautoriteit Staat der Nederlanden op te zeggen. De indiener van het verzoek, Cris van Pelt, stelt dat de certificaatautoriteit net als de AIVD onder het ministerie van Binnenlandse Zaken valt en dat daarom het vertrouwen van de CA niet meer gepast is.

Hij verwijst daarbij naar de nieuwe Wet op de inlichtingen- en veiligheidsdiensten, die op 1 januari 2018 ingaat en die de Nederlandse inlichtingendienst de bevoegdheid geeft om kabelgebonden verkeer af te tappen. "Met name artikel 45 1.b geeft expliciet de bevoegdheid om met valse sleutels in systemen van derde partijen binnen te dringen."

Overigens staat in artikel 24 van de huidige wet al een vergelijkbare passage, inclusief de term 'valse sleutels', alleen wordt in de huidige wet gesproken van 'binnendringen', en is in de nieuwe wet ook de tekst 'of door tussenkomst van het geautomatiseerd werk binnendringen' toegevoegd. Daarmee krijgt de AIVD de bevoegdheid om via-via systemen te hacken.

Firefox voegde 'Staat der Nederlanden' in 2005 toe; Nederland was toen het eerste land dat zijn eigen rootcertificaatautoriteit aan een grote browser toevoegde. De autoriteit valt onder de dienst PKIoverheid van Logius. Voorlopig gaat het alleen nog om een ticket met een verzoek; het team van Mozilla heeft nog geen reactie gegeven.