I 2014, Mozilla avslørte sine planer om å sette en stopper for bruk av Online Certificate Status Protocol (OCSP) og å bytte til OneCRL. Ha i tankene betydningen av sertifikatopphevelses, Mozilla er nå iverksette tiltak og implementere den nye funksjonen i den siste versjonen av Firefox (37). Konseptuelt, ОneCRL er er lik Chrome CRLset, som raskt kan blokkere sertifikater i tilfeller av sikkerhets farene.
Grunnen Mozilla forandrer løpet av OCSP er fordi det ikke er effektivt nok for brukere. Nyheten om Firefox 37 vil hjelpe brukerne ved å endre sertifikatopphevelses.
Tilbakekall i seg selv er en prosess med å motbevise et sertifikat før dagen den utløper. Etter den elektroniske tilbakekall kontroll er gjort, OCSP brukes til å avgjøre om sertifikatet er gyldig eller ikke. Dess, OCSP uttalelsen er lyden for noen dager bare.
Hva OneCRL gjør er bedre tilbakekallingskontroll ved å lage en liste over tilbakekalte konserter og skyve det ut til nettlesere. Så langt, OneCRL tar seg av mellomliggende CA-sertifikater, med EE-sertifikater blir neste i Mozillas plan.
Hvis et nytt sertifikat må legges til listen, utsteder bør kontakte Mozilla og la dem vite at sertifikatet må oppheves. Trinnet er avgjørende, ikke bare fra et sikkerhetsperspektiv, men det er også kostnadseffektiv og brukervennlig.
Hvordan OneCRL Forbedre Blocklisting?
Mozilla nettleser har allerede en mekanisme som utfører sikkerhetskontroll, kalt blocklisting. Hvordan fungerer OneCRL forbedre den velkjente blocklisting? Ved å legge til sertifikater i behov av tilbakekall til listen over errable add-ons og plugins. Denne handlingen er gunstig for brukeren siden de ikke trenger å oppdatere eller starte nettleseren.
En annen forbedring som OneCRL bringer er hastigheten fordi det ikke er behov for OneCRL sertifikater for å utføre OCSP live-kontroller. Dermed, ingen ventetid oppstår under tilbakekall sjekking. Dette faktum er avgjørende for EV konserter siden de krever en positiv OCSP reaksjon.
Bytte til OneCRL, som det fremgår av Mozilla, var basert på dårlig historie med Heartbleed og DigiNotar. Heartbleed er et alvorlig sikkerhetsproblem bug i OpenSSL kryptografisk programvare bibliotek. DigiNotar er en nederlandsk sertifiseringsinstans som konkurs i 2011, på grunn av smidd utstedelse av sertifikater, forårsaket av et sikkerhetsbrudd.
Skifte OCSP med OneCRL er den første av mange forbedringer som Mozilla har i tankene. Deres neste mål er å automatisere innsamling av tilbakekall data.