Em 2014, Mozilla revelou seus planos para pôr termo à utilização de Certificados Online Status Protocol (OCSP) e para mudar para OneCRL. Tendo em mente a importância de revogação de certificados, A Mozilla está agora a tomar medidas e implementar o novo recurso na última versão do Firefox (37). Conceitualmente, ОneCRL de são semelhantes aos CRLset do Chrome, que podem prontamente bloquear certificados em casos de perigos de segurança.
A razão Mozilla está a mudar o curso de OCSP é porque ele não é suficientemente eficaz para usuários. A novidade no Firefox 37 irá ajudar os usuários através da alteração de revogação de certificados.
Revogação si é um processo de refutar um certificado antes do dia do seu termo. Após a verificação de revogação on-line é feito, o OCSP é usado para determinar se o certificado é válido ou não. Infelizmente, a declaração OCSP é som por alguns dias apenas.
O que OneCRL faz é melhorar a verificação de revogação através da criação de uma lista de certs revogados e empurrando-o para fora para navegadores. Até agora, OneCRL cuida de certificados CA intermediários, com certificados EE estar ao lado no plano de Mozilla.
Se um novo certificado tem de ser adicionado à lista, o emitente deve entrar em contato com Mozilla e que eles saibam que o certificado tem de ser revogada. A etapa é crucial, não só a partir de uma perspectiva de segurança, mas é também user-friendly custo eficiente e.
Como Melhorar OneCRL Blocklisting?
O navegador da Mozilla já tem um mecanismo que realiza verificações de segurança, chamado blocklisting. Como funciona OneCRL melhorar a blocklisting conhecido? Ao adicionar os certificados que necessitam de revogação à lista de errable add-ons e plugins. Esta ação é benéfica para o usuário, uma vez que não será necessário atualizar ou reiniciar seu navegador.
Outra melhoria que OneCRL traz é a velocidade, pois não há necessidade de certificados OneCRL para executar verificações OCSP ao vivo. Assim, nenhuma latência ocorre durante a verificação de revogação. Esse fato é essencial para certs EV uma vez que exigem uma reação positiva OCSP.
Mudar para OneCRL, como foi afirmado pela Mozilla, foi baseado em uma história ruim com Heartbleed e DigiNotar. Heartbleed é um bug de segurança séria vulnerabilidade na biblioteca de software de criptografia OpenSSL. DigiNotar é uma autoridade de certificação holandesa que faliu em 2011, devido à emissão de certificados forjados, causado por uma falha de segurança.
Substituindo OCSP com OneCRL é a primeira de muitas melhorias que a Mozilla tem em mente. Seu próximo objetivo é automatizar a coleta de dados de revogação.