Google en un movimiento un tanto contradictorio ha anunciado que las próximas versiones de Google Chrome, dejarán de comprobar de antemano la validez de los certificados webs en el momento de la navegación en los servidores de las autoridades certificadoras (CA), dado el importante y creciente número de dificultades a la hora de comunicarse correctamente con estos. Pero en cambio seguirá realizando una comprobación similar en sus propios servidores con una base de datos que debe ser mantenida y actualizada con ayuda de las propias CA.
Hasta ahora Google Chrome, en lo que creemos que es una muy buena práctica, en el momento en que tratábamos de visitar una página segura HTTPS recibía de esta el certificado y trataba de conectar con la entidad emisora del mismo (a través de peticiones OCSP y CRL), en estos casos los servidores de la autoridad certificadora (CA) en cuestión. Ahora bien, tal y como comenta en su blog el desarrollador de Google, Adam Langley, esto venía suponiendo un incremento en los problemas y molestias al usuario de Chrome.
A la hora de esta comunicación navegador-CA, ocurre en muchos casos que el servidor de la CA no puede ser contactado o que no se recibe del mismo la respuesta en un tiempo aceptable. En el caso que el navegador requiera comprobar este certificado y este no obtenga respuesta válida por parte del servidor o directamente este se encuentre caído y no pueda atender a la petición, lo que hará el navegador será no mostrar la página, con el correspondiente perjuicio para el usuario que ni entra ni sale por culpa de problemas de otros. Con lo que en futuras versiones de Chrome está falta de revocación por un error en la red será ignorado como "soft-fail". De esta manera se evitarán los altos tiempos de comprobación para una petición OCSP que pueden rondar los 300ms
Desgraciadamente en este cambio de estratégia también encontramos puntos negros, ya que un atacante que intercepte esta comunicación puede simular un error de red y autentificar la web a los ojos del usuario como válida, lo cual no deja de tener sus múltiples peligros, aunque Google ya ha anunciado que mantendrá una base de datos de certificados revocados en colaboración con las CA para que su navegador pueda comprobar y revocar los certificados expirados o no válidos directamente en esta base de datos, es decir, que Google Chrome realizará una petición similar a la que venía realizando pero en sus propios servidores.
