CRLite, новият механизъм на Mozilla за валидиране на TLS сертификат

Firefox лого

Recientemente Mozilla обяви пускането на нов механизъм за откриване на сертификати отмяна наречен "CRLite" и който се намира във нощните версии на Firefox. Този нов механизъм позволява да се организира проверка ефективно отнемане на сертификат срещу база данни, хоствана в потребителска система.

Досега използваната проверка на сертификата с използването на външни услуги, базирани В протокола OCSP (Протокол за статус на онлайн сертификат) изисква гарантиран достъп до мрежата, което води до забележимо забавяне при обработката на заявката (средно 350 ms) и има проблеми с поверителността (сървъри, отговарящи на заявки, OCSP получава информация за конкретни сертификати, които могат да се използват за преценка на кои сайтове отваря потребителят)

също има възможност за локална проверка срещу CRL (Списък за отмяна на сертификат), но недостатъкът на този метод е големият размер на изтеглените данни- В момента базата данни за отнемане на сертификати заема около 300 MB и нейният растеж продължава.

Firefox използва централизирания черен списък на OneCRL от 2015 г. да блокира компрометирани и анулирани сертификати от сертифициращите органи, заедно с достъпа до услугата за безопасно сърфиране на Google, за да се определи възможна злонамерена дейност.

OneCRL, като CRLSets в Chrome, действа като междинна връзка, която обобщава списъци на CRL на сертифициращите органи и осигурява единна централизирана OCSP услуга за проверка на отменените сертификати, което прави възможно да не се изпращат заявки директно до сертифициращите органи.

По подразбиране, ако не е възможно да се провери чрез OCSP, браузърът счита сертификата за валиден. По този начин ако услугата не е достъпна поради проблеми с мрежата и вътрешни мрежови ограничения или че може да бъде блокиран от нападатели по време на MITM атака. За да избегнете подобни атаки, внедрена е техниката Must-Staple, което позволява грешката при достъп до OCSP или недостъпността на OCSP да се интерпретира като проблем със сертификата, но тази функция не е задължителна и изисква специална регистрация на сертификата.

Относно CRLite

CRLite ви позволява да предоставите пълна информация за всички отменени сертификати в лесно възобновяема структура само 1 MB, което прави възможно съхраняването на цялата база данни CRL от страна на клиента. Браузърът ще може ежедневно да синхронизира своето копие на данните в отменените сертификати и тази база данни ще бъде достъпна при всякакви условия.

CRLite комбинира информация от Прозрачност на сертификата, публичният запис на всички издадени и отменени сертификати и резултатите от сканирането на интернет сертификати (събират се различни списъци на CRL на центровете за сертифициране и се добавя информация за всички известни сертификати).

Данните се опаковат с помощта на филтри Bloom, вероятностна структура, която позволява фалшиво определяне на липсващия елемент, но изключва пропускането на съществуващ елемент (т.е. с известна вероятност са възможни фалшиви положителни резултати за валиден сертификат, но анулираните сертификати са гарантирани за откриване).

За да елиминира фалшивите аларми, CRLite въведе допълнителни нива на коригиращ филтър. След изграждането на структурата всички изходни записи се изброяват и се откриват фалшиви аларми.

Въз основа на резултатите от тази проверка се създава допълнителна структура, която каскадира над първата и коригира възникналите фалшиви аларми. Операцията се повтаря, докато фалшивите положителни резултати не бъдат напълно изключени по време на проверката.

Обикновеноal, за да покриете напълно всички данни, е достатъчно да създадете 7-10 слоя. Тъй като състоянието на базата данни поради периодична синхронизация е малко зад текущото състояние на CRL, проверката на новите сертификати, издадени след последната актуализация на базата данни CRLite, се извършва с помощта на протокола OCSP, включително използването на техниката на OCSP телбод.

Внедряването на CRLite от Mozilla е освободено под безплатния лиценз MPL 2.0. Кодът за генериране на базата данни и сървърните компоненти са написани на Python и Go. Клиентските части, добавени към Firefox за четене на данни от базата данни, са подготвени на езика Rust.

Fuente: https://blog.mozilla.org/


Бъдете първите, които коментират

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.