Mozilla будет по-новому определять отозванные сертификаты

17 Январь 2020

Компания Mozilla реализовала очередное нововведение, которое призвано повысить безопасность браузера. В последней ночной сборке появилась поддержка нового механизма под названием CRLite. Он будет работать в браузере в пассивном режиме.

Его главный функционал заключается в обнаружении отозванных сертификатов. Он будет сверяться с базой данных, используемой системой пользователя.

Отметим, что ранее Firefox вынужден был привлекать сторонние службы, которые работают на базе протокола OCSP. Но их работу сложно назвать идеальной. Для их полноценного функционирования требовался беспрерывный доступ к Интернету и при этом во время работы с базами данных обработка запроса проходила немного дольше, чем обычно. Локальная проверка по спискам CRL тоже проходила весьма затруднительно, так как база данных, с которой приходилось сверятся, занимала аж 300 МБ.

CRLite представляет упрощенный механизм, работающий с базой, которая весит всего 1МБ. При этом полная база данных полностью хранится на стороне клиента. Информация об отозванных сертификатах регулярно синхронизируется, поэтому доступ к базе данных будет предоставляться при любых условиях.

На данный момент CRLite работает в ночной сборке в фоновом режиме и функционирует параллельно с OCSP. При этом пользователи Firefox Nightly всегда могут перевести работу нового механизма в активный режим.