Chrome nebude kontrolovat odvolané certifikáty SSL online

Google se rozhodl odstranit kontrolu revokace certifikátů z budoucích verzí prohlížeče Chrome, protože se domnívá, že jde o neefektivní a zdlouhavý proces.

Chrome nebude kontrolovat odvolané certifikáty SSL online


Když se v současnosti snaží prohlížeč navázat spojení přes HTTPS, kontroluje, zda nebyl SSL certifikát dané webové stránky jeho vydávající certifikační autoritou odvolán. Tyto kontroly se provádí odesláním dotazu na server spravovaný autoritou přes speciální protokol známý jako OCSP (Online Certificate Status Protocol).


Problém je, že ne vždy se prohlížečům podaří komunikaci s ověřovacími servery navázat. Příčinou mohou být například různé technické problémy, kvůli kterým tak připojení přes HTTPS vůbec neproběhne. To má velký dopad na použitelnost samotných certifikátů. Google se proto rozhodl kontroly revokace ve svém prohlížeči Chrome zcela vypnout.


„Útočník, který může zabránit připojení HTTPS, dokáže blokovat i kontrolu revokace a zcela tak tento mechanismus obejít,” napsal ve svém blogovém příspěvku Adam Langley, bezpečnostní specialista Googlu, který tak upozorňuje i na možná bezpečnostní rizika. „I když to po 99 % doby funguje, je to zbytečné, protože funguje pouze tehdy, když není potřeba.”
Dalším problémem spojeným s kontrolou revokace je čas potřebný na její realizaci. Podle Langleyho je na úspěšnou kontrolu pomocí OCSP potřeba 300 ms až 1 sekunda. Tím se výrazně zpomaluje načítání stránek a není proto divu, že jejich administrátoři se používání protokolu HTTPS spíše vyhýbají.


Po zvážení všech nedostatků chce Google kontrolu přes OCSP v budoucích verzích prohlížeče Chrome zcela vypnout a nahradit tento mechanismus seznamem revokovaných certifikátů, který bude pravidelně aktualizován, a to bez nutnosti restartu prohlížeče. „Útočníci sice budou moci zablokovat proces aktualizace, ale dá jim to mnohem více práce než narušení kontroly přes OCSP,” tvrdí Langley.











Komentáře