Google планира да премахне онлайн проверките за анулиране на сертификати от бъдещите версии на Chrome, тъй като смята процеса за неефективен и бавен.
Понастоящем браузърите проверяват дали SSL сертификатът на даден уебсайт е бил отменен от издаващия го Сертифициращ орган (CA), когато се опитват да установят HTTPS връзка. Тези проверки се извършват чрез запитване до управлявани от CA сървъри чрез специален протокол, известен като OCSP (Протокол за онлайн статус на сертификат).
Проблемът е, че браузърите не винаги могат да комуникират със сървърите за валидиране поради различни технически проблеми и когато се случи нещо подобно, HTTPS връзките не трябва да бъдат установени; поне на теория.
Въпреки това, тъй като тези неуспехи могат да имат сериозно въздействие върху използваемостта, особено когато CAs имат опит прекъсване на сървъра, доставчиците на браузъри са решили да игнорират проверките за анулиране, които водят до мрежа грешки. Това се нарича мек отказ.
„Атакуващ, който може да прихване HTTPS връзки, може също така да направи онлайн проверките за анулиране да изглеждат неуспешни и така да заобиколи проверките за анулиране“, каза инженерът по сигурността на Google Адам Лангли в
блог пост в неделя.„Така че проверките за анулиране на мека повреда са като предпазен колан, който щраква, когато катастрофирате“, каза той. „Въпреки че работи 99 процента от времето, това е безполезно, защото работи само когато не ви трябва.“
Това предполага, че онлайн проверката на отмяната на сертификати не добавя голяма стойност към уеб сигурността при текущото им изпълнение. Поддържането му включено обаче струва значителна цена – скорост на сърфиране.
„Средното време за успешна проверка на OCSP е ~300 ms, а средното е почти секунда“, каза Лангли. „Това забавя зареждането на страницата и обезкуражава сайтовете да използват HTTPS.“
След като разгледа недостатъците, Google реши да премахне OCSP проверките от бъдещите версии на Chrome и заменете ги с локален списък с отменени сертификати, които могат да се актуализират, без да е необходим браузър рестартирам. Нападателите теоретично биха могли да блокират процеса на актуализиране, но това ще изисква повече усилия от блокирането на проверка за отмяна на OCSP, каза Лангли.
Инженерът по сигурността прикани CAs доброволно да допринесат своите отменени сертификати в списъка, като ги публикуват във формат и място, които са достъпни за робота на Google.
Експертите повдигнаха сериозни въпроси относно сигурността и надеждността на настоящата SSL инфраструктура през последните месеци, след пробиви в сигурността в няколко CA, които доведоха до измамни сертификати издаден. Обсъждат се различни предложения за подобряване или замяна на сегашната система.