Firefox将尝试禁用对DV和OV证书的OCSP检查
发布日期:2017-06-01由于性能降低,Mozilla将会尝试禁用OCSP检查。OCSP或称在线证书状态协议,是用来检测证书是否已被撤销的一个技术性机制。Firefox的这一变更将会同即将推出的新测试版本Nightly一同出现。如果遥测数据证明了禁用对DV和OV证书的OCSP检查可以减少握手时间,这一做法将会被带到标准版。
这将使Firefox与其他主流浏览器(包括Chrome和Safari)相提并论,其中服务器向客户端直接提供OCSP响应的OCSP装订将不会受到影响。此外, Firefox还将继续为EV(扩展验证)证书提取OCSP响应。
OCSP长期被批评为鸡肋。由于在全球范围内部署服务的操作性挑战,OCSP通常在“软失败”的情况下终止 - 这意味着在OCSP检查未完成的情况下(因为服务器关闭或连接超时),证书被认为是有效的。因而一旦发生这种状况,OCSP就形同儿戏。 谷歌的工程师亚当·兰利(Adam Langley)甚至嘲讽它为“崩溃时扣上的安全带”。
Mozilla的遥测数据显示,在成功的OCSP检查中,大约9%的检测花了超过1秒的时间。这一秒加在了SSL/TLS握手上,从而大幅延长了整个页面加载的时间。更有甚者(0.05%的OCSP检查)超过3秒!这能忍?
无独有偶,Let's Encrypt的OCSP服务也在上月早些时候下线了12个小时,影响了不少使用他家证书的用户。去年GlobalSign也被他们的OCSP服务器坑了一回。这些事件都让人不禁疑问,OCSP这么闹心真的还要继续用吗?
Mozilla的安全工程师David Keeler写道:“这次禁用是为了监控遥测数据,看看OCSP是不是真的影响TLS握手时间。”要是真的有用,他们将会在所有Firefox版本中禁用OSCP检查。
其实早在多年前OCSP的性能就已经提升了不少——OCSP装订和Must-Staple的出现都旨在修复性能、安全性和隐私问题。然而不开窍的其实是Apache和Nginx,作为两大最主流的web服务器,他们在OCSP的特性实施上乏善可陈。因而到底坑货是谁?这话还真不好说。
相关资讯:
Mozilla一直在不断提高Firefox个人隐私和安全功能的用户体验.近日,Firefox浏览器更改了HTTPS安全标识UI,每项主要变化都进行了重点标注,并附上每项变化的原理.
Firefox 和 Chrome 正式对“不安全登录页面”标记警告
Google Chrome 56 和 Mozilla Firefox 51 均已发布,这些更新带来了一个新功能,那就是出现在地址栏左侧的针对“不安全登录页”的警告标识,此举无疑是加强了用户...
Firefox 55 要求所有“地理位置服务”使用HTTPS
今年8月计划发布的Firefox 55将会完全禁用HTTP的地理位置服务,也就是说到时候还没用上HTTPS加密的地理位置服务将没有询问用户位置的权限,用户甚至都不...
Netcraft报告:Let’s Encrypt和Comodo颁发大量证书被用于网络钓鱼
一些证书颁发机构(CA)仍然在向一些具有明显的网络钓鱼和诈骗意图的域名颁发数以万计的证书,骗子们使用最多的就是Let's Encrypt和Comodo这两个CA颁发的域名验证型证书。在2017年一季度发现的具有有效TLS证书的钓鱼网站中,这两个CA的证书占到了96%。