Firefox 37 Omfavner det nye Certificate Revocation Techniques

Firefox 37 Omfavner det nye Certificate Revocation Techniques

I 2014, Mozilla afslørede deres planer om at sætte en stopper for brugen af ​​Online Certificate Status Protocol (OCSP) og skifte til OneCRL. Under hensyntagen til vigtigheden af ​​tilbagekaldte certifikater, Mozilla har nu taget initiativ og gennemføre den nye funktion i den sidste version af Firefox (37). Begrebsmæssigt, ОneCRL s ligner Chromes CRLset, som straks kan blokere beviser i tilfælde af sikkerhedsmæssige farer.

Grunden Mozilla ændrer forløbet af OCSP er fordi det ikke er effektiv nok til brugerne. Nyheden om Firefox 37 vil hjælpe brugerne ved at ændre certifikat tilbagekaldelse.

Tilbagekaldelse selv er en proces med at modbevise et certifikat før den dag den udløber. Efter online tilbagekaldelse kontrol sker, OCSP bruges til at afgøre, om certifikatet er gyldigt eller ej. Desværre, OCSP erklæring er sund for et par dage kun.

Hvad OneCRL gør, er at forbedre tilbagekaldelse kontrol ved at oprette en liste over tilbagekaldte CERT og skubbe det ud til browsere. Hidtil, OneCRL tager sig af mellemliggende CA-certifikater, med EE-certifikater bliver ud i Mozillas plan.

Hvis et nyt certifikat skal tilføjes til listen, udstederen skal kontakte Mozilla og lad dem vide, at attesten skal tilbagekaldes. Det skridt er afgørende ikke blot ud fra et sikkerhedsmæssigt perspektiv, men det er også omkostningseffektiv og brugervenlig.

Hvordan OneCRL forbedre Blocklisting?

Mozilla-browseren allerede har en mekanisme, der udfører sikkerhedskontrol, kaldet blocklisting. Hvordan OneCRL forbedre den velkendte blocklisting? Ved at tilføje certifikater med behov for tilbagekaldelse til listen over errable tilføjelser og plugins. Denne handling er en fordel for brugeren, da de ikke bliver nødt til at opdatere eller genstarte deres browser.

En anden forbedring, OneCRL bringer er hastigheden, fordi der ikke er behov for OneCRL certifikater til at udføre OCSP levende kontrol. Således, ingen ventetid opstår under tilbagekaldelsen kontrol. Denne kendsgerning er væsentlig for El certs da de kræver en positiv OCSP reaktion.

Skift til OneCRL, som anført af Mozilla, var baseret på dårlig historie med Heartbleed-bug og DigiNotar. Heartbleed-bug er en alvorlig sårbarhed sikkerhed bug i OpenSSL kryptografisk software bibliotek. DigiNotar er en hollandsk certifikat myndighed, gå fallit i 2011, på grund af forfalskede udstedelse af certifikater, forårsaget af et brud på sikkerheden.

Udskiftning OCSP med OneCRL er den første af mange forbedringer, som Mozilla har i tankerne. Deres næste mål er at automatisere indsamlingen af ​​tilbagekaldelse af data.