Firefox is als eerste browser gestopt met het gebruik van OCSP om te controleren of door websites gebruikte certificaten zijn ingetrokken. In plaats daarvan zal de browser deze controles voortaan via CRLite uitvoeren, zo heeft Mozilla aangekondigd. CRLite is een technologie die informatie over ingetrokken certificaten zo effectief weet te comprimeren dat Firefox informatie over alle ingetrokken certificaten lokaal op het systeem van gebruikers kan opslaan en slechts 300KB per dag aan updates nodig heeft om bij te blijven.

Tls-certificaten zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om de website te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het tls-certificaat worden ingetrokken. Deze informatie moet vervolgens aan de browser worden gecommuniceerd.

Voor het communiceren van ingetrokken certificaten werden Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP) bedacht. CRLs zijn eigenlijk gewoon lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Dergelijke lijsten zijn dan ook vaak zeer groot en daardoor inefficiënt om te downloaden als de browser één specifiek certificaat van een bezochte website wil controleren.

Als alternatief werd OCSP ontwikkeld. Hierbij wordt alleen het certificaat van de bezochte website gecontroleerd. De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren. Vervolgens is een ingetrokken certificaat alsnog te gebruiken.

Daarnaast speelt er ook een privacyprobleem bij OCSP. Wanneer een gebruiker bij een OCSP-server informatie over een certificaat opvraagt, laat die ook aan deze server weten welke website er wordt bezocht. OCSP requests worden meestal via het onversleutelde HTTP verstuurd, wat inhoudt dat derden die het internetverkeer monitoren deze informatie ook kunnen zien. Daarom zijn verschillende certificaatautoriteiten, zoals Let's Encrypt, inmiddels gestopt met het ondersteunen van OCSP.

Jaren geleden kwam Mozilla met het idee van CRLite dat volledig op het systeem van gebruikers werkt en niet afhankelijk is van online controles. Het systeem maakt daarbij gebruik van "slimme algoritmes en technieken" om alle informatie te comprimeren, zodat alle informatie over ingetrokken certificaten lokaal is op te slaan en het up-to-date blijven met ingetrokken certificaten nauwelijks dataverkeer en diskruimte kost. CRLite is sinds Firefox 137 in de browser aanwezig, maar Mozilla heeft nu besloten alle controles via het systeem uit te voeren en met OCSP te stoppen. De Firefox-ontwikkelaar hoopt dat andere browserleveranciers CRLite nu ook binnen hun browsers gaan implementeren.