Mozilla基金会日前在官方博客中透露关于Firefox浏览器部署 CRLite 数字证书吊销检查机制的消息,该机制已经在 Mozilla Firefox v137.0 版中部署,并且在使用上并没有出现什么问题。
OCSP 在线证书状态协议是证书颁发机构 (CA) 用来宣告证书状态的机制,浏览器每次请求网站时都会向 OCSP 服务器发送消息以检查证书是否被吊销,如果是,则浏览器返回错误阻止用户继续访问不安全的网站。
这种机制的优势在于实时检查证书状态可以在第一时间发现异常证书并阻止用户访问,例如当Google的数字证书被盗且Google主动申请吊销证书后,浏览器遇到错误证书就会停止访问,避免出现劫持等情况。
而劣势则是每次访问都询问 OCSP 会泄露用户隐私,CA 机构可以通过浏览器发送的 OCSP 请求识别用户访问哪些网站,基于隐私问题部分 CA 机构已经在讨论停止 OCSP 服务 (包括 Let’s Encrypt)。
替代方法 CRL 机制:
为解决 OCSP 协议带来的性能 (因为每次都询问也会拖累加载速度) 和隐私问题,行业推出 CRL 证书吊销列表机制,该机制会缓存 CA 机构已经吊销的所有数字证书列表然后在本地对比。
这样做的好处是不需要每次都询问 OCSP 导致性能和泄露隐私,因为是本地对比证书列表因此速度会非常快,整个过程也不需要联网,用户访问网站时会减少与 OCSP 连接的开销时间。
Firefox浏览器的 CRLite 机制:
该浏览器部署的 CRLite 机制是精选所有 CA 机构已经吊销的证书列表中的活动 CRL 清单,然后每 12 小时联网更新一次,也就是说当某个证书被吊销后,传播到Firefox浏览器用户时最多需要 12 小时。
全部吊销的证书数据合计大约有 300MB,让用户每天都下载 300MB 的数据显然不太现实,所以Firefox浏览器采用精选机制实际只需要下载 300KB 的数据,在确保安全性的同时避免影响网络性能。
禁用 OCSP 机制:
在部署 CRLite 机制后Mozilla基金会宣布将在 Mozilla Firefox v142.0 版开始禁用域名验证证书的 OCSP 协议,也就是当使用Firefox浏览器访问这些网站时纯粹使用 CRLite 机制,不再向 OCSP 发送请求信息。
这种变更应该不会对网站产生负面影响,不过建议企业 IT 管理员提前下载安装 Firefox v142.0+ Beta 版进行测试,确保使用的数字证书能够继续被Firefox浏览器加载。
