בשנת 2014, מוזילה חשפה את תוכניותיהם לשים קץ לשימוש בפרוטוקול מצב אישור באינטרנט (OCSP) וכדי לעבור OneCRL. לאחר דעתן לחשיבות של שלילת תעודה, מוזילה כעת נקיטת פעולה ויישום התכונה החדשה בגרסה האחרונה של פיירפוקס (37). מבחינה מושגית, ОneCRL של דומות CRLset של Chrome, אשר יכול לחסום תעודות מיד במקרים של סכנות אבטחה.
הסיבה מוזילה משתנית במהלך OCSP משום שהיא אינה יעילה מספיק עבור משתמשים. החידוש ב- Firefox 37 יעזרו למשתמשים על ידי שינוי שלילת תעודה.
ביטול עצמה היא תהליך של disproving תעודה לפני יום זה יפוג. לאחר בדיקת הביטול המקוונת נעשית, לצו בדבר הוראות ביטחון משמש כדי לקבוע האם האישור תקף או לא. לצערי, הצהרת OCSP היא קול במשך כמה ימים בלבד.
מה OneCRL עושה הוא שיפור ביטול ויבדוק ידי יצירת רשימה של certs בוטל ודוחף אותו החוצה כדי הדפדפנים. עד כה, OneCRL דואג אישורים של רשויות ביניים, עם תעודות EE להיות הבא בתוכנית של מוזילה.
אם תעודה חדשה צריכה להוסיף לרשימה, המנפיק לפנות מוזילה ולהודיע להם כי האישור צריך להתבטל. הצעד הוא חיוני לא רק מבחינה בטחונית, אבל זה גם עלות-יעילה ידידותית למשתמש.
איך OneCRL שפר Blocklisting?
דפדפן Mozilla כבר יש מנגנון אשר מבצע בדיקות אבטחה, קרא blocklisting. איך OneCRL לשפר את blocklisting ידועה? על ידי הוספת התעודות זקוקות ביטול לרשימת הרחבות ותוספות errable. פעולה זו מועילה עבור המשתמש מאז הם לא צריכים לעדכן או להפעיל מחדש את הדפדפן שלהם.
עוד שיפור כי OneCRL מביא הוא המהירות כי אין צורך בתעודות OneCRL לבצע בדיקות OCSP חי. לפיכך, אין חביון מתרחשת במהלך בדיקת הביטול. עובדה זו חיונית certs EV שכן הם דורשים תגובה OCSP חיובית.
מעבר OneCRL, כאמור על ידי מוזילה, התבסס על היסטוריה רעה עם Heartbleed ו DigiNotar. Heartbleed באג אבטחת פגיעות חמור בספריית תוכנת הצפנת OpenSSL. DigiNotar הוא רשות אישורים הולנדית כי לפשיטת רגל ב 2011, עקב הנפקת תעודות מזויפות, נגרם על ידי פרצת אבטחה.
OCSP החלפת עם OneCRL הוא הראשון של שיפורים רבים כי יש מוזילה בראש. המטרה הבאה שלהם אוטומציה לאיסוף נתוני ביטול.