De acuerdo con la siguiente captura de pantalla, tomada de firefox-3.6.17-1.fc14.i686, Firefox tiene una opción para cerrar cuando no se puede conectar a los servidores de OCSP.
¿Puede alguien explicar por qué esto no está habilitado de forma predeterminada?
Hay varios problemas con OCSP. Algunos de ellos:
Algunas CA no ofrecen un servidor OCSP, confiando en su lugar en CRL (en particular, el OCSP completo con soporte para clientes que no son clientes es bastante costoso para la CA). Y entre los que implementan OCSP, muchos hacen el trabajo, lo que resulta en respuestas de OCSP que no son verificables, per se (por ejemplo, la respuesta de OCSP se firma con un certificado de respondedor OCSP dedicado para el cual el estado de revocación no se puede obtener). Por lo tanto, hacer que los controles de OCSP sean obligatorios, en este momento, se niegan a hablar con una proporción no despreciable de los sitios web de SSL existentes. El mundo simplemente no está "listo" para una amplia aceptación de OCSP.
El grande - OMI - es la velocidad. He utilizado un par de enchufes y configuraciones diferentes para habilitar OCSP en los navegadores, e incluso en un entorno de laboratorio donde el servidor OCSP está descargado y un salto en un entorno de gran ancho de banda, la comprobación de OCSP puede ser un gran retraso en el establecimiento de la sesión. Incluso he recibido muchas quejas de los usuarios, incluso cuando los usuarios son otros ingenieros que entienden exactamente lo que está pasando.
En un navegador público como Firefox, no van a querer que la configuración que se incluye fuera de la caja haga que tu navegador parezca extremadamente lento cuando haces compras en línea.
También, hay una cierta cantidad de configuración en las comprobaciones de OCSP. ¿Tiene un servidor local de OCSP que sea una preferencia a la configuración en el certificado? ¿Cómo se configura exactamente el certificado? No hay una forma perfecta de configurar una URL para las comprobaciones de OCSP. ¿Se requerirá que su navegador firme las solicitudes de OCSP? ¿Requerirá un nonce? Y para un sistema seguro, no es 1 cheque de OCSP, es un cheque para todos los certificados en la cadena excepto para la raíz autofirmada.
¿Y cuántas veces el navegador reintentará una solicitud sin respuesta? ¿Y cuánto tiempo esperará para decidir que no obtuvo una respuesta?
Estas no son preguntas que un usuario promedio pueda responder, y los navegadores están totalmente diseñados para el denominador común más bajo.
No estoy de acuerdo con algunas de las posiciones, porque es demasiado oneroso para el CA. En general, los servidores OCSP están separados de la CA. La CA firma el CRL y pasa este CRL a un respondedor OCSP. Se puede organizar un conjunto de respondedores de OCSP con equilibrio de carga para manejar el tráfico. OCSP, por sí mismo, no es una carga pesada. Es una transacción bastante pequeña, con datos bastante simples. El rendimiento generalmente está relacionado con el tamaño de la CRL y cualquier impacto de desmontaje / configuración de la conexión. Este tipo de servicio es absolutamente factible si el impulso está ahí para tenerlo. El mayor problema es que el servicio en sí mismo es lo suficientemente complicado como para que no sea fácil de configurar o universal. Y no es el tipo de cosas que los usuarios finales promedio aprecian lo suficiente como para retrasar sus sesiones SSL.
Porque OCSP pone demasiada tensión en la CA. Imagina que eres un CA de confianza. Ahora imagine la infraestructura que debe implementar para manejar millones de solicitudes de OCSP a su servidor cada segundo. Buen negocio?
Lea otras preguntas en las etiquetas public-key-infrastructure web-browser cryptography certificates certificate-revocation