Chrome без онлайн-проверки отзыва сертификатов (OCSP и CRL)
Сообщают, что в браузере Chrome планируется отказаться от поддержки онлайн-проверки SSL-сертификатов на предмет отзыва. Соответствующие протоколы позволяют браузеру проверить, не отозван ли сертификат, который ему предъявляет тот или иной сайт при соединении по HTTPS. И такая проверка проводится непосредственно перед тем, как принять (или не принять) сертификат, с помощью запроса к специальному серверу.
Тут, между прочим, кроется известный канал сбора статистики по посетителям защищённых сайтов: если вы приобрели и установили себе SSL-сертификат, подразумевающий онлайн-проверку отзыва, то браузеры посетителей при заходе на сайт (по HTTPS, понятно) будут дёргать соответствующие сервера удостоверяющего центра, сообщая, таким образом, что да, вот мы посещаем такой-то ресурс. В результате можно построить портрет аудитории сайта.
Возвращаясь к Chrome – в исходном сообщении уверждается, что затраты на обеспечение онлайн-проверки превышают выигрыш в безопасности. Ну и плюс утечка “личных поведенческих данных”. То есть, браузер, как можно предположить, становится ещё быстрее, остаётся не менее безопасным, а отзыв сертификатов планируют отражать при помощи обновлений Chrome.
Да, интересно наблюдать, как Chrome сперва вылез в браузеры-лидеры, а теперь начинает активно влиять на технологические традиции рынка.
Адрес записки: https://dxdt.ru/2012/02/07/4512/
Похожие записки:
- Экспериментальный сервер TLS: сигналы внутри сертификата
- Работа GPS и коррекция по данным многих устройств
- ИИ с перебором
- Вычисления на различной аппаратуре
- Рендеринг для 3D-печати - пример
- Вычислимые опасности ИИ
- Браузеры и перехват TLS без участия УЦ
- DNS QNAME Minimization на резолверах Cloudflare
- Реплика: пример про ДСЧ
- Спагеттизация Интернета как проявление битвы за банхаммер
- "Пасхалки" в трафике
1 комментарий от читателей
1. 7th February 2012, 16:52 // Читатель jno написал:
Хорошо бы иметь раздельные профили безопасности для разных сайтов…
Чтобы можно было внести, грубо говоря, сайты, “которые просят денег” в один профиль (где включены все проверки), а остальные – в другой (где HTTPS используется только для прикрытия канала связи).