I 2014, Mozilla avslöjade sina planer på att sätta stopp för användningen av Online Certificate Status Protocol (OCSP) och att växla till OneCRL. Med tanke på vikten av återkallade certifikat, Mozilla nu vidta åtgärder och genomföra den nya funktionen i den senaste versionen av Firefox (37). konceptuellt, ОneCRL s liknar Chrome CRLset, som snabbt kan blockera certifikat i fall av säkerhets faror.
Anledningen Mozilla förändras under loppet av OCSP är att det inte är tillräckligt effektiv för användarna. Nyheten om Firefox 37 kommer att hjälpa användare genom att ändra återkallade certifikat.
Återkallande i sig är en process för att motbevisa ett certifikat innan dagen det löper ut. Efter online återkallningskontroll görs, OCSP används för att bestämma om certifikatet är giltigt eller inte. Tyvärr, OCSP uttalande är ljud för ett par dagar bara.
Vad OneCRL gör är att förbättra återkallande kontroll genom att skapa en lista över återkallad certs och trycka ut den till webbläsare. Än så länge, OneCRL tar hand om mellan CA-certifikat, med EE certifikat som nästa i Mozilla plan.
Om ett nytt certifikat måste läggas till listan, emittenten bör kontakta Mozilla och låt dem veta att certifikatet måste återkallas. Steget är avgörande inte bara ur ett säkerhetsperspektiv, men det är också kostnadseffektiv och användarvänlig.
Hur OneCRL förbättra Blocklisting?
Mozilla webbläsare har redan en mekanism som utför säkerhetskontroller, kallas blocklisting. Hur OneCRL förbättra den välkända blocklisting? Genom att tillsätta certifikaten i behov av återkallande till listan över errable tillägg och plugins. Denna åtgärd är till nytta för användaren eftersom de inte kommer att behöva uppdatera eller starta sin webbläsare.
En annan förbättring som OneCRL ger är hastigheten eftersom det inte finns något behov av OneCRL certifikat för att utföra OCSP levande kontroller. Således, ingen latens uppträder under återkallningskontroll. Detta faktum är viktigt för EV certs eftersom de kräver en positiv OCSP reaktion.
Byta till OneCRL, enligt uppgift från Mozilla, baserades på dålig historia med heartbleed och DigiNotar. Heartbleed är en allvarlig sårbarhet säkerhet bugg i OpenSSL kryptografiska mjukvarubibliotek. DigiNotar är en holländsk certifikatutfärdare som ruine i 2011, på grund av smidda utfärdande av certifikat, orsakas av en säkerhetsöverträdelse.
Byte av OCSP med OneCRL är den första av många förbättringar som Mozilla har i åtanke. Deras nästa mål är att automatisera insamling av återkallande uppgifter.