In 2014, Mozilla ha rivelato i loro piani per porre fine all'uso di Online Certificate Status Protocol (OCSP) e passare a OneCRL. Tenendo presente l'importanza di certificato di revoca, Mozilla è ora in corso l'azione e l'attuazione della nuova funzionalità nell'ultima versione di Firefox (37). Concettualmente, ОneCRL sono simili a CRLset di Chrome, che può bloccare prontamente i certificati in caso di pericoli di sicurezza.
Il motivo Mozilla sta cambiando il corso di OCSP è perché non è abbastanza efficace per gli utenti. La novità su Firefox 37 aiuterà gli utenti alterando certificato di revoca.
La revoca è di per sé un processo di confutare un certificato prima del giorno della scadenza. Dopo il controllo di revoca in linea è fatto, il OCSP viene utilizzato per determinare se il certificato è valido o meno. Sfortunatamente, la dichiarazione OCSP è il suono per un paio di giorni solo.
Che OneCRL fa è migliorare il controllo della revoca con la creazione di un elenco di certs revocati e spingendolo fuori per i browser. Finora, OneCRL si occupa di certificati CA intermedi, certificati EE essere prossimo nel piano di Mozilla.
Se un nuovo certificato deve essere aggiunto all'elenco, l'emittente deve contattare Mozilla e far loro sapere che il certificato deve essere revocato. Il passo è fondamentale non solo dal punto di vista della sicurezza, ma è anche conveniente e facile da usare.
Come funziona OneCRL Migliorare Blocklisting?
Il browser Mozilla ha già un meccanismo che effettua controlli di sicurezza, chiamato blocklisting. Come funziona OneCRL migliorare la blocklisting noto? Aggiungendo i certificati che hanno bisogno di revoca alla lista dei errable componenti aggiuntivi e plugin. Questa azione è utile per l'utente in quanto non sarà necessario aggiornare o riavviare il browser.
Un altro miglioramento che OneCRL porta è la velocità, perché non vi è alcuna necessità di certificati OneCRL di effettuare controlli OCSP vivo. Quindi, senza latenza si verifica durante il controllo di revoca. Questo fatto è essenziale per certs EV in quanto richiedono una reazione positiva OCSP.
Passaggio a OneCRL, come dichiarato da Mozilla, era basato su cattiva storia con Heartbleed e DigiNotar. Heartbleed è un grave bug di sicurezza vulnerabilità nella libreria software di crittografia OpenSSL. DigiNotar è un'autorità di certificazione olandese che in bancarotta in 2011, a causa di rilascio di certificati falsi, causato da una violazione della sicurezza.
Sostituzione OCSP con OneCRL è il primo di molti miglioramenti che Mozilla ha in mente. Il loro prossimo obiettivo è di automatizzare la raccolta dei dati di revoca.