快速、私密且安全（三者兼得）：Firefox推出CRLite

Bobby Holley

我们很高兴地宣布，Firefox 142将开始正式使用我们全新的证书吊销系统CRLite。CRLite使您的浏览体验更快、更私密、更安全，是互联网加密技术的一项重大进步。

每天有数十亿人依赖HTTPS来安全加密与网站的通信。这一核心协议既确保您与正确的网站通信，又防止其他方窥探您的活动。为实现这一点，网站会从受信任的机构获取证书，向Firefox等浏览器证明其身份。然而，错误时有发生：证书可能被错误地颁发给错误的方，或被恶意行为者破坏。发生这种情况时，证书必须被吊销，以便浏览器知道它不再可信。将这些信息传达给浏览器是一个异常困难的问题——所有先前的方法都不得不在隐私、安全性和性能之间做出权衡。

Mozilla主张用户不应被迫进行这些权衡——加密、隐私和性能是我们对网络愿景的基石，我们的使命是构建让用户三者兼得的技术。

CRLite代表了多年努力，通过完全在设备上运行的综合系统实现这一愿景。这消除了在线吊销检查的需求，既加快了页面加载速度，又避免了将您访问的站点泄露给网络上的第三方。其他浏览器已部署类似方法，但这些系统仅能存储所有吊销证书的一小部分，不得不对哪些证书最重要进行不完美的猜测。CRLite效率足够高，可以在本地存储所有证书吊销信息，每天仅需300KB的持续更新即可保持最新状态。

CRLite使用多种巧妙算法和技术来实现其性能，我们感谢Mozilla内外所有贡献见解和代码的个人。您可以在首席工程师John Schanck的配套Hacks文章以及我们最近发表的论文中找到更多技术细节。

CRLite设定了吊销安全的新标准，目前仅在Firefox中提供。我们为此感到自豪，但实际上希望这种情况不会持续。我们的使命是让互联网对每个人都更安全，这意味着我们希望看到这种安全级别在所有地方部署，而不仅仅是在Firefox中。我们设计了CRLite，以便其他浏览器和互联网客户端易于采用或调整，并期待全面的吊销检查成为各地的常态。