En el contexto del error Heartbleed, me gustaría asegurarme de que puedo detectar si alguien intenta realizar un ataque MITM con un certificado robado, que desde entonces ha sido revocado. El problema es que el navegador solo falla por falla suave o no verifica la CRL en absoluto porque la falla por software es inútil . Firefox le permite a uno hacer la respuesta de OCSP obligatoria pero tiene desventajas significativas. ¿Cuáles son los ajustes / complementos recomendados para detectar certificados revocados desde que se anunció Heartbleed? Específicamente me gustaría
- Haga que el OCSP sea obligatorio para los certificados emitidos antes del 04/07. Tal vez con un respaldo a algo como Perspectivas . ¿Existe alguna extensión de este tipo / está en desarrollo?
- Tener el registro CRL de un certificado almacenado en caché de mi visita anterior a un sitio. Eso no ayuda contra el ataque de MTM en mi primera visita, pero notaría un MITM con un certificado revocado en cualquier visita posterior.
¿Alguna otra recomendación de configuración de extensiones para resolver este problema? Estoy feliz de cambiar el navegador para resolver el problema, por lo que la recomendación para cualquier navegador es bienvenida.