Браузер Chrome планирует изменить стандартную процедуру проверки SSL-сертификатов

Adam Langley , ведущий программист компании Google назвал проверку аннулированных SSL-сертификатов по списку допотопной и устаревшей технологиями защиты. Он утверждает что эта проверка не гарантирует пользователю защиту сайта от подмены, но зато отнимает у браузера много времени и замедляет установку соединения, во время которого он принимает подписанный сертификат, который должен подтвердить, что данный домен действительно тот, за кого себя представляет. Этот сертификат содержат ссылку на сервис, управляемый центром сертификации (Certificate Authorities, CA) и выдает браузеру актуальную действующую информацию.

Все основные браузеры обращаются к этому сервису, чтобы проверить, аннулирован сертификат или нет. Для этого существует 2 протокола (формата): OCSP и CRL.

Проблема заключается в том, что браузер не может гарантировать, способность установить связь с сервисом центра сертификации СА. Если в результате такой проверки возвращается ошибка, браузер ее игнорирует, далее просто проводится загрузка сайта.

Получается, что если злоумышленник хочет предъявить поддельный сертификат, ему просто достаточно заблокировать проверку аннулирования сертификата браузером.

Иначе говоря, все проверки на аннулирование ненадежны в современных условиях и совершенно не защищают пользователя от загрузки вредоносного контента.

В связи с этим, компания Google заявила о том что планирует отключить онлайн-проверки аннулированных сертификатов в будущих версиях браузера Chrome. Однако, что касается сертификатов высшего класса EV, окончательное решение пока еще не принято.

Заменой стандартной методики Chrome будет использование офлайновой базы аннулированных сертификатов и обновление ее через софтверные апдейты. Недостатком такого метода является только то, что пользователю нужно перезагрузить браузер. Преимущества очевидны — сайты начнут грузиться быстрее, а браузер Chrome сам примет на себя часть функций центра сертификации.