In 2014, Mozilla onthulde hun plannen om een einde te maken aan het gebruik van het Online Certificate Status Protocol (OCSP) en overschakelen naar OneCRL. Rekening houdend met het belang van de intrekking van certificaten, Mozilla is nu actie te ondernemen en de uitvoering van de nieuwe functie in de laatste versie van Firefox (37). Conceptueel, ОneCRL's zijn vergelijkbaar met Chrome CRLset, die onmiddellijk certificaten in geval van veiligheidsrisico's kan blokkeren.
De reden dat Mozilla is de loop van de OCSP het veranderen is, omdat het niet efficiënt genoeg voor gebruikers. De nieuwigheid op Firefox 37 zal gebruikers helpen door het veranderen van een certificaat heeft ingetrokken.
Intrekking zelf is een proces van het weerleggen van een certificaat voor de dag het verloopt. Na de online intrekking controle wordt gedaan, de OCSP wordt gebruikt om te bepalen of het certificaat geldig is of niet. Helaas, de OCSP verklaring is geluid voor een paar dagen alleen.
Wat OneCRL doet, is het verbeteren van intrekkingscontrole door het creëren van een lijst met ingetrokken certs en uit te duwen om browsers. Tot nu toe, OneCRL verzorgt tussenliggende CA-certificaten, met EE certificaten wordt naast in het plan van Mozilla's.
Als een nieuw certificaat moet worden toegevoegd aan de lijst, de emittent moeten contact opnemen met Mozilla en laat hen weten dat het certificaat moet worden ingetrokken. De stap is cruciaal, niet alleen vanuit het oogpunt van beveiliging, maar het is ook kostenefficiënt en gebruiksvriendelijk.
Hoe werkt OneCRL Verbeter Blocklisting?
De Mozilla-browser heeft al een mechanisme dat de veiligheidscontroles uitvoert, riep blocklisting. Hoe werkt OneCRL verbeteren van de bekende blocklisting? Door het toevoegen van de certificaten in de behoefte van de herroeping aan de lijst van errable add-ons en plugins. Deze actie is gunstig voor de gebruiker omdat ze niet hoeft te werken of hun browser opnieuw.
Een andere verbetering die OneCRL brengt is de snelheid omdat er geen behoefte OneCRL certificaten OCSP leven uit te voeren. Dus, geen latency tijdens de intrekking controle plaatsvindt. Dit feit is essentieel voor EV certs omdat ze vereisen een positieve OCSP reactie.
Overschakelen naar OneCRL, zoals verklaard door Mozilla, was gebaseerd op slechte geschiedenis met Heartbleed and DigiNotar. Heartbleed is een ernstig beveiligingsprobleem bug in de OpenSSL cryptografische software bibliotheek. DigiNotar is een Nederlands certificaat autoriteit die failliet in 2011, als gevolg van vervalste afgifte van certificaten, veroorzaakt door een inbreuk op de beveiliging.
Het vervangen van OCSP met OneCRL is de eerste van de vele verbeteringen die Mozilla heeft in het achterhoofd. Hun volgende doel is het automatiseren van het verzamelen van intrekkingsgegevens.