Google planira ukloniti online provjere opoziva certifikata iz budućih verzija Chromea jer smatra da je proces neučinkovit i spor.
Preglednici trenutno provjeravaju je li SSL certifikat web-mjesta opozvan od strane Izdavatelja certifikata (CA) kada pokušavaju uspostaviti HTTPS vezu. Ove se provjere vrše postavljanjem upita poslužiteljima kojima upravlja CA putem posebnog protokola poznatog kao OCSP (Online Certificate Status Protocol).
Problem je u tome što preglednici ne mogu uvijek komunicirati s poslužiteljima za provjeru valjanosti zbog raznih tehničke probleme i kada se ovako nešto dogodi, HTTPS veze ne bi trebalo biti uspostavljen; barem u teoriji.
Međutim, budući da ovi kvarovi mogu imati ozbiljan utjecaj na upotrebljivost, posebno kada CA-ovi imaju iskustva zastoja poslužitelja, dobavljači preglednika odlučili su ignorirati provjere opoziva koje rezultiraju mrežom pogreške. Ovo se naziva meka greška.
"Napadač koji može presresti HTTPS veze također može učiniti da mrežne provjere opoziva izgledaju neuspješno i tako zaobići provjere opoziva", rekao je Googleov sigurnosni inženjer Adam Langley u
post na blogu u nedjelju."Dakle, provjere opoziva s mekim kvarom su poput sigurnosnog pojasa koji pukne kad se sudarite", rekao je. "Iako radi 99 posto vremena, bezvrijedan je jer radi samo kad vam ne treba."
To sugerira da internetska provjera opoziva certifikata ne dodaje veliku vrijednost web sigurnosti u svojoj trenutnoj implementaciji. Međutim, njegovo održavanje ima značajnu cijenu - brzina pregledavanja.
"Srednje vrijeme za uspješnu OCSP provjeru je ~300 ms, a prosjek je gotovo jedna sekunda", rekao je Langley. "Ovo odgađa učitavanje stranice i obeshrabruje stranice da koriste HTTPS."
Nakon razmatranja nedostataka, Google je odlučio ukloniti OCSP provjere iz budućih verzija Chromea i zamijenite ih lokalnim popisom opozvanih certifikata koji se može ažurirati bez potrebe za preglednikom ponovno pokretanje. Napadači bi teoretski mogli blokirati proces ažuriranja, ali to će zahtijevati više truda nego blokiranje provjere opoziva OCSP-a, rekao je Langley.
Sigurnosni inženjer pozvao je CA-e da svoje opozvane certifikate dobrovoljno dodaju na popis tako što će ih objaviti u formatu i na mjestu koji su dostupni Googleovom alatu za indeksiranje.
Stručnjaci su postavili ozbiljna pitanja o sigurnosti i pouzdanosti trenutne SSL infrastrukture tijekom posljednjih mjeseci, nakon kršenja sigurnosti u nekoliko CA-ova koji su rezultirali lažnim certifikatima izdao. Raspravlja se o različitim prijedlozima za poboljšanje ili zamjenu postojećeg sustava.