Firefox 142 引入 CRLite 用于私有证书撤销
Mozilla 在 Firefox 142 中正式引入了新的设备证书撤销系统 CRLite。
CRLite 旨在消除隐私、速度和安全性之间长期存在的权衡,旨在解决 HTTPS 基础设施中的核心弱点,确保识别已撤销的证书,而不会暴露用户或减慢浏览速度。
CRLite 的开发是 Mozilla 领导的多年计划的结晶,内部工程师和外部合作者都做出了贡献。该功能目前已作为 Firefox 142 的一部分投入生产,与早期的证书撤销机制(例如 OCSP(在线证书状态协议)和 CRL(证书撤销列表))相比,这是一个重大飞跃,这些机制长期以来一直存在效率低下和隐私缺陷的问题。
将流程移至本地
证书撤销对 HTTPS 至关重要,HTTPS 协议负责加密大多数网络流量并确保用户连接到真实网站。当证书因误发或盗窃而泄露时,必须将其撤销以防止恶意使用。传统的撤销方法需要浏览器与第三方服务器进行核对,以确定证书是否仍然有效。这些检查会导致性能延迟,更令人担忧的是,还会将浏览行为泄露给外部方。
Firefox 的CRLite 改变了这一现状,将所有证书撤销数据都存储在用户设备本地。该系统将涵盖数千万条证书撤销信息的整个集合压缩成一种节省空间的格式,每天只需 300 KB 的更新即可保持最新状态。这使得 Firefox 无需任何网络通信即可执行撤销检查,从而保护用户隐私并消除远程查找造成的延迟。
Firefox 背后的非营利组织 Mozilla 长期以来一直将自己定位为用户至上的 Web 技术倡导者,倡导强加密、最小化数据暴露和开放标准。借助 CRLite,Mozilla 不仅提供了符合这些价值观的撤销机制,而且超越了竞争对手的浏览器,其中许多浏览器依赖于更有限或基于启发式的撤销策略。
CRLite 基于多项技术创新,包括使用布隆过滤器和其他概率数据结构来实现快速且紧凑的存储。该项目首席工程师 John Schanck 发表了一篇详细的技术深度剖析文章,Mozilla 也发布了一篇学术论文,概述了该系统的架构和性能指标。
尽管 Firefox 是首个如此大规模部署 CRLite 的浏览器,但 Mozilla 希望其方案能够得到更广泛的采用。该系统的设计明确考虑到了其他浏览器和客户端的适配性,这符合 Mozilla 提升互联网整体安全水平而非保持独占性的目标。
Firefox 用户应确保已更新至142 版本,以便使用 CRLite。新服务将在后台静默运行,无需额外配置即可激活。