kgersen,
Si Google chrome sur Windows a une liste, poussé régulièrement, des certificats révoqués, pour quoi ce n'est pas le cas sous Ubuntu ou Android ?
L'idée d'une liste maintenu par l'éditeur du navigateur me semble effectivement une bonne solution (évite d'interroger à les serveurs pour chaque connexions https : on y gagne coté client et coté serveur). Il faudrait que je regarde le fonctionnement de Firefox sur ce point.
La liste de Chrome (CRLsets) n'est plus utilisé et l'option dans les paramètres pour l'activer ou pas a été enlevé à partir de Chrome 38 (cet été).
Donc, comme dit dans le bug tracker, Chrome ne fait plus de contrôle et délègue tout a l'OS.
L'idée d'origine des CRLsets de 2012 n'etait pas pour corriger définitivement ce probleme mais pour répondre a des cas d'urgences importants.
Un peu plus d'explication la:
https://www.imperialviolet.org/2014/04/29/revocationagain.htmlEn résumé: la sécurité est une vue d'ensemble plein de compromis ici et la. Télécharger et maintenir des listes de révocations est une manière de faire qui a ses avantages et ses inconvénients. Parmi ces derniers, et pas des moindres, on a des ralentissements et une augmentation du trafic: Cloudfare en paye le prix fort depuis Heartbleed avec pas moins de 1/2 millions de $ par mois rien qu'en trafic de CRL.
C'est une question de choix, choisir ou l'on dépense son temps et son argent.
Si vous voulez creuser la question a fond il faut lire les contre-arguments ici:
https://www.grc.com/revocation/crlsets.htm (long et pointu).