Dans 2014, Mozilla a révélé leurs plans pour mettre fin à l'utilisation du protocole Online Certificate Status (OCSP) et de passer à OneCRL. Ayant à l'esprit l'importance de la révocation des certificats, Mozilla est en train de prendre des mesures et mettre en œuvre la nouvelle fonctionnalité dans la dernière version de Firefox (37). Conceptuellement, ОneCRL de sont similaires à la CRLset de Chrome, qui peut bloquer sans délai les certificats en cas de dangers de sécurité.
La raison Mozilla est en train de changer le cours de OCSP est parce qu'il ne est pas assez efficace pour les utilisateurs. La nouveauté sur Firefox 37 aidera les utilisateurs en modifiant la révocation des certificats.
Révocation lui-même est un processus de réfuter un certificat avant la date de son expiration. Après la vérification de la révocation en ligne se effectue, la OCSP est utilisé pour déterminer si le certificat est valide ou non. Malheureusement, la déclaration OCSP est son pendant quelques jours seulement.
Que OneCRL fait est l'amélioration vérification de la révocation en créant une liste des concerts annulés et en le poussant vers navigateurs. Jusqu'ici, OneCRL prend soin de certificats d'AC intermédiaires, avec des certificats d'EE étant à côté dans le plan de Mozilla.
Si un nouveau certificat doit être ajoutée à la liste, l'émetteur doit communiquer avec Mozilla et leur faire savoir que le certificat doit être révoqué. L'étape est cruciale, non seulement du point de vue de la sécurité, mais il est aussi rentable et convivial.
Comment ne OneCRL Améliorer Blocklisting?
Le navigateur Mozilla possède déjà un mécanisme qui effectue des contrôles de sécurité, appelé blocklisting. Comment améliorer la OneCRL blocklisting bien connu? En ajoutant les certificats dans le besoin de révocation à la liste des add-ons et plugins errable. Cette action est bénéfique pour l'utilisateur, car ils ne auront pas besoin de mettre à jour ou de redémarrer leur navigateur.
Une autre amélioration que OneCRL apporte est la vitesse, car il ne est pas nécessaire pour les certificats OneCRL pour effectuer des contrôles OCSP en direct. Ainsi, aucune latence se produit lors de la vérification de révocation. Ce fait est essentiel pour certs EV car ils nécessitent une réaction OCSP positif.
Le passage à OneCRL, comme indiqué par Mozilla, a été fondée sur la mauvaise histoire avec Heartbleed et DigiNotar. Heartbleed est un bug de sécurité de grave vulnérabilité dans la bibliothèque de logiciels de cryptographie OpenSSL. DigiNotar est une autorité de certification néerlandaise qui en faillite 2011, en raison de délivrance des certificats forgés, causée par une brèche de sécurité.
Remplacement OCSP avec OneCRL est la première des nombreuses améliorations que Mozilla a en tête. Leur prochain objectif est d'automatiser la collecte de données de révocation.