Mozilla anunció una nueva función en Firefox 37 que agrega una lista de certificados intermediarios revocados a una lista de bloqueo local para acelerar la verificación de revocación y mejorar la forma en que el navegador maneja los certificados revocados.

La revocación se refiere al proceso de invalidación de certificados antes de su fecha de vencimiento (que puede ser años en el futuro).

Entonces, para que Firefox pueda determinar si un certificado es revocado o no, necesita tener esa información de inmediato porque ha sido codificada en el navegador, o necesita hacer una solicitud para averiguarlo.

Resulta que estos remotos las solicitudes no son efectivas o ayudar a los atacantes a encontrar una forma de evitarlos.

Esto deja certificados revocados codificados de forma rígida en este momento, lo que tampoco es ideal teniendo en cuenta que Mozilla necesita crear una actualización del navegador siempre que necesite actualizar la lista de certificados revocados que está codificada de forma rígida en el navegador.

La creación de una nueva compilación de Firefox vincula recursos y requiere que los usuarios del navegador también descarguen e instalen la actualización.

certificado valido

los nuevo sistema que Mozilla lanza en Firefox 37 resuelve esos problemas en Firefox. Utiliza el mismo sistema utilizado por la lista de bloqueo existente del navegador, que enumera los complementos, extensiones y controladores que Mozilla bloquea por motivos como causar problemas de estabilidad o ser inseguros.

El efecto es que Mozilla puede actualizar la lista independientemente del navegador, lo que garantiza que las actualizaciones lleguen a los sistemas de los usuarios más rápido y con un mínimo esfuerzo. Mozilla llama a esta nueva función OneCRL y beneficia a los usuarios de Firefox de otra manera.

Dado que los certificados bloqueados están disponibles localmente, Firefox ya no necesita realizar comprobaciones OSCP en vivo, lo que a su vez significa que no hay latencia adicional y tiempos de respuesta más rápidos. Mozilla señala que solo los certificados intermedios de CA están cubiertos por la nueva función actualmente.

OneCRL recibe actualizaciones cada vez que un Autoridad certificada en el programa raíz notifica a Mozilla sobre la revocación de un certificado intermedio.

Por ahora, esto significa que Mozilla procesa la información manualmente antes de que se agregue al navegador.

La organización tiene planes para mejorar aún más el proceso automatizándolo para que la información del certificado revocado se agregue automáticamente a la lista de bloqueo cada vez que una autoridad de certificación raíz notifique a Mozilla sobre certificados revocados.

Información adicional sobre la implementación son disponible en Bugzilla.