A Google azt tervezi, hogy eltávolítja az online tanúsítvány-visszavonási ellenőrzéseket a Chrome jövőbeli verzióiból, mert szerinte a folyamat nem hatékony és lassú.
A böngészők jelenleg azt ellenőrzik, hogy a webhely SSL-tanúsítványát visszavonta-e a kiállító tanúsító hatóság (CA), amikor HTTPS-kapcsolatot próbálnak létrehozni. Ezeket az ellenőrzéseket a CA által üzemeltetett szerverek lekérdezésével végzik egy speciális, OCSP (Online Certificate Status Protocol) néven ismert protokollon keresztül.
A probléma az, hogy a böngészők nem mindig tudnak kommunikálni az érvényesítési szerverekkel, mert különböző technikai problémák, és ha valami ilyesmi történik, a HTTPS-kapcsolatoknak nem szabad lenniük alapított; legalábbis elméletben.
Mivel azonban ezek a hibák komoly hatással lehetnek a használhatóságra, különösen akkor, ha a hitelesítésszolgáltatók ezt tapasztalják A szerver leállása miatt a böngésző gyártói úgy döntöttek, hogy figyelmen kívül hagyják a hálózatot eredményező visszavonási ellenőrzéseket hibákat. Ezt soft-fail-nak nevezik.
„Egy támadó, aki képes elkapni a HTTPS-kapcsolatokat, az online visszavonási ellenőrzések sikertelennek tűnhet, és így megkerülheti a visszavonási ellenőrzéseket” – mondta Adam Langley, a Google biztonsági mérnöke. blog bejegyzés vasárnap.
„Tehát a lágyan meghibásodott visszavonási ellenőrzések olyanok, mint egy biztonsági öv, amely ütközéskor elpattan” – mondta. "Bár az esetek 99 százalékában működik, semmit sem ér, mert csak akkor működik, ha nincs rá szükség."
Ez arra utal, hogy az online tanúsítvány-visszavonás-ellenőrzés nem ad sok értéket a webbiztonsághoz a jelenlegi megvalósításban. A bekapcsolva tartás azonban jelentős költségekkel jár – böngészési sebességgel.
„A sikeres OCSP-ellenőrzés medián ideje ~300 ms, az átlag pedig csaknem egy másodperc” – mondta Langley. "Ez késlelteti az oldalak betöltését, és elriasztja a webhelyeket a HTTPS használatától."
A hátrányok mérlegelése után a Google úgy döntött, hogy eltávolítja az OCSP ellenőrzéseket a Chrome jövőbeli verzióiból és cserélje ki őket a visszavont tanúsítványok helyi listájára, amely böngésző nélkül frissíthető újrakezd. A támadók elméletileg blokkolhatják a frissítési folyamatot, de ez több erőfeszítést igényel, mint az OCSP visszavonási ellenőrzés blokkolása, mondta Langley.
A biztonsági mérnök felkérte a CA-kat, hogy a visszavont tanúsítványaikat önkéntesen adják hozzá a listához oly módon, hogy a Google feltérképező robotja számára elérhető formátumban és helyen teszik közzé azokat.
A szakértők komoly kérdéseket vetettek fel a jelenlegi SSL-infrastruktúra biztonságával és megbízhatóságával kapcsolatban az elmúlt hónapokban, több hitelesítésszolgáltatónál történt biztonsági megsértéseket követően, amelyek csalárd tanúsítványok megjelenését eredményezték kiadott. A jelenlegi rendszer javítására vagy cseréjére különböző javaslatokat vitatnak meg.