新機能の「OneCRL」では、失効した証明書のリストを中央で管理してブラウザにプッシュ配信することで、失効状態チェックの迅速化を図る。
米Mozillaは3月3日、失効した中間証明書のリストをWebブラウザにプッシュ配信するための新しい仕組みとなる「OneCRL」を、Firefox安定版の次期バージョン「Firefox 37」から導入すると発表した。
このところ相次ぐSSL/TLS関連の脆弱性の発覚や不正な証明書を使った攻撃の横行を受け、ブラウザメーカー各社が証明書を失効させる対応に追われる事態が頻発している。
しかし、証明書の失効状態を確認するために現在使われている「OCSP」というプロトコルは、ユーザーにとってあまり役に立っておらず、TLS接続の約9%でしか使われていないとMozillaは指摘する。
これに対してOneCRLでは、失効した証明書のリストを中央で管理してWebブラウザにプッシュ配信することで、失効状態のチェックの迅速化を図る。OneCRLでカバーされる証明書はOCSPでチェックする必要がなくなり、特にEV証明書では時間が短縮されるという。
Firefoxではこれまで、証明書を失効させる必要が生じた場合はFirefoxの更新版をリリースして問題に対応してきたが、ユーザーが更新版を受け取るまでに時間や手間がかかるという難点があった。
OneCRLでは、不正なプラグインなどのチェックに使われている「Blocklisting」の対象を拡大し、失効させる証明書のリストを含める。これによってユーザーがWebブラウザを更新したり再起動したりしなくても、証明書の失効情報を受け取ることができるという。
現時点でOneCRLがカバーするのはCA中間証明書のみだが、いずれは適用範囲を広げ、失効情報収集の自動化を進めるとしている。
Copyright © ITmedia, Inc. All Rights Reserved.