Google aikoo poistaa verkkovarmenteen peruutustarkistukset Chromen tulevista versioista, koska se pitää prosessia tehottomana ja hitaana.
Selaimet tarkistavat tällä hetkellä, onko verkkosivuston SSL-varmenne kumonnut sen myöntävä sertifikaattiviranomainen (CA), kun ne yrittävät muodostaa HTTPS-yhteyden. Nämä tarkistukset tehdään kysymällä CA: n käyttämiltä palvelimilta erityisprotokollan kautta, joka tunnetaan nimellä OCSP (Online Certificate Status Protocol).
Ongelmana on, että selaimet eivät aina pysty kommunikoimaan vahvistuspalvelimien kanssa erilaisten syiden vuoksi teknisiä ongelmia ja kun jotain tällaista tapahtuu, HTTPS-yhteyksiä ei pitäisi olla perusti; ainakin teoriassa.
Kuitenkin, koska näillä vioilla voi olla vakavia vaikutuksia käytettävyyteen, varsinkin kun CA: t kokevat palvelimen seisokkeja, selaintoimittajat ovat päättäneet jättää huomiotta peruutustarkistukset, jotka johtavat verkkoon virheitä. Tätä kutsutaan pehmeäksi epäonnistumiseksi.
"Hyökkääjä, joka voi siepata HTTPS-yhteyksiä, voi myös saada online-peruutustarkistukset epäonnistumaan ja siten ohittaa peruutustarkistukset", Googlen tietoturvainsinööri Adam Langley sanoi.
blogipostaus sunnuntaina."Joten pehmeän epäonnistumisen peruutustarkastukset ovat kuin turvavyö, joka napsahtaa törmäyksessä", hän sanoi. "Vaikka se toimii 99 prosenttia ajasta, se on arvoton, koska se toimii vain silloin, kun et tarvitse sitä."
Tämä viittaa siihen, että online-varmenteen peruutuksen tarkistus ei lisää paljon lisäarvoa verkkoturvallisuuteen sen nykyisessä toteutuksessa. Sen pitäminen päällä maksaa kuitenkin huomattavia kustannuksia - selausnopeutta.
"Mediaaniaika onnistuneelle OCSP-tarkastukselle on ~ 300 ms ja keskiarvo on lähes sekunti", Langley sanoi. "Tämä viivästyttää sivun latautumista ja estää sivustoja käyttämästä HTTPS: ää."
Harkittuaan haittoja Google päätti poistaa OCSP-tarkistukset Chromen tulevista versioista ja korvaa ne paikallisella luettelolla peruutetuista varmenteista, jotka voidaan päivittää ilman selainta uudelleenkäynnistää. Hyökkääjät voisivat teoriassa estää päivitysprosessin, mutta tämä vaatii enemmän vaivaa kuin OCSP: n peruutustarkistuksen estäminen, Langley sanoi.
Turvainsinööri pyysi CA: ita lisäämään peruutetut varmenteensa vapaaehtoisesti luetteloon julkaisemalla ne muodossa ja paikassa, joka on Googlen indeksointirobotin käytettävissä.
Asiantuntijat ovat herättäneet vakavia kysymyksiä nykyisen SSL-infrastruktuurin turvallisuudesta ja luotettavuudesta viime kuukausina useiden varmentajan tietoturvaloukkausten seurauksena, jotka johtivat väärennetyille varmenteille annettu. Erilaisia ehdotuksia nykyisen järjestelmän parantamiseksi tai korvaamiseksi käsitellään.