Mozilla a annoncé une nouvelle fonctionnalité à venir de Firefox 37 qui ajoute une liste de révoqué les certificats intermédiaire d’un local liste de blocs, afin d’accélérer la vérification de la révocation et d’améliorer la façon dont les certificats révoqués sont gérées par le navigateur.
La révocation se réfère au processus de l’invalidation des certificats avant leur date de péremption (qui peut prendre des années dans le futur).
Donc, pour Firefox afin de déterminer si un certificat est révoqué ou pas, il faut soit avoir ces informations immédiatement, parce qu’elles ont été codés en dur dans le navigateur, ou il a besoin de faire une demande pour savoir à ce sujet.
Il s’avère que ces les demandes à distance ne sont pas efficaces ou d’aider les attaquants peuvent trouver un moyen de contourner.
Cela laisse codé en dur certificats révoqués maintenant qui n’est pas idéal, soit en considérant que Mozilla a besoin de créer une mise à jour du navigateur chaque fois qu’il doit mettre à jour le certificat révoqué liste qui est codé en dur dans le navigateur.
La création d’un nouveau Firefox construire lie ressources et exige que les utilisateurs du navigateur pour télécharger et installer la mise à jour.
Le nouveau système que Mozilla lance Firefox 37 résout ces problèmes dans Firefox. Il utilise le même système utilisé par le navigateur existant d’une liste noire d’adresses de listes de plugins, des extensions et des pilotes qui sont bloqués par Mozilla pour des raisons telles que causer des problèmes de stabilité ou de l’insécurité.
L’effet est que Mozilla peut mettre à jour la liste indépendant du navigateur, qui permet les mises à jour atteindre les systèmes de l’utilisateur plus rapide et avec un minimum d’effort.Mozilla appelle cette nouvelle fonctionnalité OneCRL et il est bénéfique pour les utilisateurs de Firefox, d’une autre façon.
Depuis bloqué les certificats sont disponibles localement, Firefox n’a pas besoin de faire vivre OSCP contrôles de plus qui à son tour signifie pas de temps d’attente supplémentaire et de temps de réponse.Mozilla note que seulement CA certificats intermédiaires sont couverts par la nouvelle fonctionnalité actuellement.
OneCRL reçoit des mises à jour à chaque fois qu’une autorité de certification dans la racine de programme informe Mozilla à propos de la révocation d’un certificat intermédiaire.
Pour l’instant, cela signifie que les informations sont traitées par Mozilla manuellement avant qu’ils soient ajoutés au navigateur.
L’organisation a des plans pour améliorer encore le processus en automatisant ainsi que le certificat révoqué informations sont automatiquement ajoutés à la liste de blocs à chaque fois qu’un certificat racine de l’autorité notifie Mozilla à propos de certificats révoqués.
Plus d’informations sur la mise en œuvre sont disponibles sur le Bugzilla.