In 2014, Mozilla zeigte ihre Pläne zur Beendigung der Verwendung von Online Certificate Status Protocol setzen (OCSP) und auf OneCRL wechseln. In Hinsicht auf die Bedeutung der Zertifikatssperr, Mozilla ist nun Maßnahmen ergreifen und die Umsetzung der neuen Funktion in der letzten Version von Firefox (37). Konzeptionell, ОneCRL ist ähnlich wie Chrome CRLset sind, die sie umgehend sperren können Zertifikate in Fällen von Sicherheitsgefahren.
Der Grund, Mozilla verändert den Lauf der OCSP ist, weil es nicht effizient genug für Anwender. Die Neuheit auf Firefox 37 werden die Nutzer durch Änderung Zertifikatssperr helfen.
Widerruf selbst ist ein Prozess, zu widerlegen ein Zertifikat, bevor der Tag es abläuft. Nach dem Online-Sperrungsüberprüfung ist getan, Die OCSP wird ermittelt, ob das Zertifikat gültig ist oder nicht,. Leider, Die OCSP-Anweisung ist Sound für ein paar Tage nur.
Was OneCRL tut, ist die Verbesserung der Sperrüberprüfung, indem Sie eine Liste der widerrufenen Zertifikate und schieben Sie es aus, den Browser. Bisher, OneCRL kümmert Zwischen CA-Zertifikate, mit Über EE-Zertifikate nächsten in Mozillas Plan.
Wenn eine neue Bescheinigung muss in die Liste aufgenommen werden,, der Emittent Mozilla und lassen Sie sie wissen, dass die Bescheinigung muss widerrufen werden. Der Schritt ist entscheidend, nicht nur aus Sicht der Sicherheit, es ist aber auch kostengünstige und benutzerfreundliche.
Wie funktioniert OneCRL verbessern Blocklisting?
Der Mozilla-Browser bereits über einen Mechanismus, der die Sicherheitskontrollen durchführt, genannt blocklisting. Wie funktioniert OneCRL Verbesserung der bekannten blocklisting? Durch das Hinzufügen der Zertifikate in der Notwendigkeit des Widerrufs zur Liste der errable Add-ons und Plugins. Diese Aktion ist von Vorteil für den Anwender, da sie nicht brauchen, zu aktualisieren oder zu ihren Browser neu starten.
Eine weitere Verbesserung, die OneCRL bringt Geschwindigkeit ist, weil es keine Notwendigkeit für OneCRL Zertifikate OCSP Lebenderkennung auszuführen. So, keine Wartezeit während der Sperrüberprüfung auftritt. Diese Tatsache ist für die EV-Zertifikate da sie eine positive Reaktions OCSP.
Die Umstellung auf OneCRL, wie von Mozilla angegeben, auf schlechte Geschichte mit der Basis Heartbleed und DigiNotar. Heartbleed ist eine ernste Schwachstelle Sicherheitslücke in OpenSSL kryptographische Software-Bibliothek. DigiNotar ist eine niederländische Zertifizierungsstelle, die in den Bankrott getrieben 2011, aufgrund geschmiedet Ausstellung von Bescheinigungen, durch eine Sicherheitsverletzung verursacht.
Ersetzen OCSP mit OneCRL ist die erste von vielen Verbesserungen, die Mozilla im Sinn hat. Ihr nächstes Ziel ist die Automatisierung der Sammlung von Sperrdaten.