Nedavno Mozilla je najavila pokretanje novog mehanizma za otkrivanje certifikata opoziv pod nazivom "CRLite" i koji se nalazi u noćnim verzijama Firefoxa. Ovaj novi mehanizam omogućava vam da organizirate verifikaciju efektivnog opoziva sertifikata prema bazi podataka koja se nalazi na korisnikovom sistemu.
Provjera certifikata korištena do sada uz korištenje eksternih servisa u OCSP protokolu (Online protokol statusa certifikata) zahtijeva zagarantovan pristup mreži, što dovodi do značajnog kašnjenja u obradi zahteva (u proseku 350 ms) i ima problema sa poverljivošću (serveri koji odgovaraju na OCSP zahteve dobijaju informacije o određenim sertifikatima, pomoću kojih se može proceniti koje sajtove korisnik otvara).
Takođe postoji mogućnost lokalne verifikacije prema CRL-u (Lista opoziva certifikata), ali nedostatak ove metode je velika veličina preuzetih podataka- Trenutno baza podataka o opozivu certifikata zauzima oko 300 MB i njen rast se nastavlja.
Firefox je koristio OneCRL centraliziranu crnu listu od 2015. za blokiranje certifikata koje su kompromitovana i opozvana od strane certifikacijskih tijela zajedno s pristupom Googleovoj usluzi Sigurnog pregledavanja radi utvrđivanja potencijalnih zlonamjernih aktivnosti.
OneCRL, kao CRLSsetovi u Chromeu, djeluje kao posredna karika koja agregira CRL liste certifikacijskih tijela i pruža jedinstvenu centraliziranu OCSP uslugu za verifikaciju opozvanih certifikata, što omogućava da se zahtjevi ne šalju direktno certifikacijskim tijelima.
Default, Ako provjera putem OCSP-a nije moguća, pretraživač smatra da je certifikat važeći. Na ovaj način ako usluga nije dostupna zbog problema s mrežom i interna mrežna ograničenja ili koje napadači mogu blokirati tokom MITM napada. Kako biste izbjegli ovakve napade, Implementirana je tehnika Must-Staple, koji vam omogućava da tumačite grešku OCSP pristupa ili OCSP nedostupnost kao problem sa sertifikatom, ali ova funkcija je opciona i zahteva posebnu registraciju sertifikata.
O CRLite-u
CRLite vam omogućava da donesete potpune informacije o svim opozvanim certifikatima u strukturi koja se lako obnovljiva od samo 1 MB, što omogućava pohranjivanje cijele CRL baze podataka na strani klijenta. Pretraživač će moći svakodnevno da sinhronizuje svoju kopiju podataka o opozvanim sertifikatima i ova baza podataka će biti dostupna pod bilo kojim uslovima.
CRLite kombinuje informacije iz Certificate Transparency, javni registar svih izdatih i opozvanih sertifikata i rezultata skeniranja sertifikata na Internetu (prikuplja se nekoliko CRL lista sertifikacionih centara i dodaju se podaci o svim poznatim sertifikatima).
Podaci se pakuju pomoću Bloom filtera, probabilistička struktura koja dozvoljava lažno određivanje elementa koji nedostaje, ali isključuje izostavljanje postojećeg elementa (tj., s određenom vjerovatnoćom, mogući su lažni pozitivni rezultati za važeći certifikat, ali je zagarantovano da će opozvani certifikati biti otkriveni).
Da bi eliminisao lažne alarme, CRLite je uveo dodatne korektivne nivoe filtera. Nakon što je struktura generirana, svi izvorni zapisi se nabrajaju i otkrivaju se lažni alarmi.
Na osnovu rezultata ove verifikacije, kreira se dodatna struktura koja se kaskadno postavlja na vrh prve i ispravlja sve lažne alarme koji su se pojavili. Operacija se ponavlja sve dok se lažni pozitivni rezultati potpuno ne isključe tokom verifikacije.
Generalnoal, za potpuno pokrivanje svih podataka, dovoljno je kreirati 7 do 10 slojeva. Budući da stanje baze podataka zbog periodične sinhronizacije neznatno zaostaje za trenutnim stanjem CRL-a, provjera novih certifikata izdatih nakon posljednjeg ažuriranja CRLite baze podataka vrši se korištenjem protokola OCSP, uključujući korištenje OCSP tehnike spajanja.
Mozilla CRLite implementacija je objavljena pod besplatnom licencom MPL 2.0. Kod za generisanje baze podataka i serverskih komponenti napisan je u Python i Go. Klijentski dijelovi dodani Firefoxu za čitanje podataka iz baze podataka pripremljeni su na Rust jeziku.
Izvor: https://blog.mozilla.org/