OneCRL w Firefoxie

OneCRL w Firefoxie

Zgodnie z informacją przekazaną przez Mozillę kolejna wersja przeglądarki Firefox wykorzystywała będzie nowy mechanizm pozwalający na sprawdzenie czy certyfikat nie został unieważniony. Nie jest to jednak całkowita rewolucja, ponieważ zmiany dotyczą jedynie certyfikatów pośrednich.

OneCRL

OneCRL, bo tak nazywa się ten mechanizm, to nic innego jak jedna lista, która zawierała będzie wszystkie unieważnione certyfikaty pośrednie. Jej głównym zadaniem jest przyśpieszenie oraz zwiększenie skuteczności procesu weryfikacji certyfikatów.

Obecnie, Firefox, do weryfikacji statusu certyfikatów pośrednich korzysta z Online Certificate Status Protocol (OCSP). Proces weryfikacji certyfikatu za pomocą OCSP może w niektórych przypadkach powodować opóźnienia. Co gorsza, w sytuacji całkowitej awarii respondera OCSP uzyskanie informacji o statusie certyfikatu jest niemożliwe. Między innymi te słabości protokołu OCSP przyczyniły się do stworzenia nowego rozwiązania.

Wpisy na pierwotnej wersji OneCRL będą dodawane niejako ręcznie. Każdy Urząd Certyfikacji (CAs) będzie zobowiązany do poinformowania Mozilli o fakcie unieważnieniu certyfikatu pośredniego. Rozwiązanie to jest mało wygodne dlatego też fundacja już rozpoczęła prace, które mają pozwolić na automatyzację tego procesu.

Aktualizacja listy w przeglądarce użytkownika będzie odbywała się na zasadach podobnych jak ma to miejsce w, obecnym już w Firefoxie, mechanizmie zwanym blocklisting. Mechanizm ten pozwala m.in. na blokowanie w locie wtyczek, które mogą stanowić zagrożenia na bezpieczeństwa użytkownika. W locie, czyli bez restartu czy aktualizacji samej przeglądarki.

OneCRL w Firefoxie 37

OneCRL w Firefoxie 37

OneCRL zacznie funkcjonować w kolejnej, oznaczonej numerem 37, wersji przeglądarki Mozilli. Jej wydanie planowane na przełomie marca i kwietnia.

Na razie tylko certyfikaty pośrednie

Mechanizm OneCRL, póki co, obejmował będzie tylko certyfikaty pośrednie. Mozilla nie wyklucza jednak, że w przyszłości może poszerzyć zastosowanie OneCRL na przykład dla certyfikatów rozszerzonej weryfikacji – Extended Validation.

Certyfikaty pośrednie Urzędów Certyfikacji (intermediate CAs, subordinate CAs) w ścieżce certyfikacji ulokowane są pomiędzy certyfikatem końcowym a certyfikatem głównym (root CA) i pomagają w ustanowieniu ścieżki zaufania. Najczęściej to właśnie certyfikat pośredni jest bezpośrednim wystawcą Twojego certyfikatu.

20150312-subCA

Certyfikat pośredni w ścieżce certyfikacji

Trzeba wspomnieć, że podobny mechanizm, nazwany CRLSets, funkcjonuje już od kilku lat w Chrome. W przypadku przeglądarki Google mechanizm ten jest jednak wykorzystywany do weryfikacji wszystkich certyfikatów, nie tylko pośrednich.

Na koniec warto chyba zadać sobie pytanie: czy to dobrze, że twórcy przeglądarek w pewnym stopniu odchodzą od zdefiniowanych standardów i decydują się na własne, różne rozwiązania? Odpowiedź na nie pozostawiam już Wam…

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *