Recientemente Mozilla kündigte die Einführung eines neuen Zertifikatserkennungsmechanismus an Widerruf genannt "CRLite" und das ist in den nächtlichen Versionen von Firefox zu finden. Dieser neue Mechanismus ermöglicht die Organisation einer Überprüfung effektiver Widerruf des Zertifikats gegen eine Datenbank, die auf dem System eines Benutzers gehostet wird.
Die bisher verwendete Zertifikatsüberprüfung mit der Nutzung von externen Diensten basiert Im OCSP-Protokoll (Online-Zertifikatstatusprotokoll) erfordert garantierten Zugriff auf das Netzwerk, Dies führt zu einer spürbaren Verzögerung bei der Verarbeitung der Anforderung (durchschnittlich 350 ms) und zu Vertraulichkeitsproblemen (Server, die auf Anforderungen reagieren, erhalten Informationen zu bestimmten Zertifikaten, anhand derer beurteilt werden kann, welche Websites ein Benutzer öffnet).
auch Es besteht die Möglichkeit einer lokalen Überprüfung gegen CRL (Zertifikatsperrliste), Der Nachteil dieser Methode ist jedoch die große Größe der heruntergeladenen Daten- Derzeit belegt die Zertifikatssperrdatenbank etwa 300 MB und wächst weiter.
Firefox hat die zentralisierte OneCRL-Blacklist verwendet seit 2015, um Zertifikate zu blockieren, die von Zertifizierungsstellen kompromittiert und widerrufen wurden, sowie Zugriff auf den sicheren Browsing-Service von Google, um mögliche böswillige Aktivitäten festzustellen.
OneCRL, wie CRLSets in Chrome, fungiert als Zwischenlink, der CRL-Listen von Zertifizierungsstellen aggregiert und bietet einen einzigen zentralisierten OCSP-Dienst zur Überprüfung widerrufener Zertifikate, sodass keine Anforderungen direkt an die Zertifizierungsstellen gesendet werden können.
Standard, Wenn eine Überprüfung über OCSP nicht möglich ist, betrachtet der Browser das Zertifikat als gültig. So wenn der Dienst aufgrund von Netzwerkproblemen nicht verfügbar ist und interne Netzwerkeinschränkungen oder dass es von Angreifern während eines MITM-Angriffs blockiert werden kann. Um solche Angriffe zu vermeiden, Die Must-Staple-Technik ist implementiert. Dadurch kann der OCSP-Zugriffsfehler oder die OCSP-Unzugänglichkeit als Problem mit dem Zertifikat interpretiert werden. Diese Funktion ist jedoch optional und erfordert eine spezielle Registrierung des Zertifikats.
Über CRLite
Mit CRLite können Sie vollständige Informationen zu allen widerrufenen Zertifikaten bereitstellen in einer leicht erneuerbaren Struktur Nur 1 MB, wodurch die gesamte CRL-Datenbank gespeichert werden kann auf der Client-Seite. Der Browser kann seine Kopie der Daten in den widerrufenen Zertifikaten täglich synchronisieren, und diese Datenbank ist unter allen Bedingungen verfügbar.
CRLite kombiniert Informationen aus Zertifikatstransparenz. die öffentliche Aufzeichnung aller ausgestellten und widerrufenen Zertifikate und die Ergebnisse des Scannens von Internetzertifikaten (verschiedene CRL-Listen von Zertifizierungszentren werden gesammelt und Informationen zu allen bekannten Zertifikaten werden hinzugefügt)
Die Daten werden mithilfe von Bloom-Filtern gepacktEine Wahrscheinlichkeitsstruktur, die eine falsche Bestimmung des fehlenden Elements ermöglicht, jedoch das Auslassen eines vorhandenen Elements ausschließt (dh mit einiger Wahrscheinlichkeit sind für ein gültiges Zertifikat falsch positive Ergebnisse möglich, widerrufene Zertifikate werden jedoch garantiert erkannt).
Um Fehlalarme zu vermeiden, hat CRLite zusätzliche Korrekturfilterstufen eingeführt. Nach dem Erstellen der Struktur werden alle Quelldatensätze aufgelistet und Fehlalarme erkannt.
Basierend auf den Ergebnissen dieser Überprüfung wird eine zusätzliche Struktur erstellt, die über die erste kaskadiert und aufgetretene Fehlalarme korrigiert. Der Vorgang wird wiederholt, bis Fehlalarme bei der Überprüfung vollständig ausgeschlossen sind.
GewöhnlichUm alle Daten vollständig abzudecken, reicht es aus, 7 bis 10 Ebenen zu erstellen. Da der Status der Datenbank aufgrund der periodischen Synchronisierung geringfügig hinter dem aktuellen Status der CRL liegt, wird die Überprüfung neuer Zertifikate, die nach der letzten Aktualisierung der CRLite-Datenbank ausgestellt wurden, unter Verwendung des Protokolls OCSP durchgeführt, einschließlich der Verwendung der OCSP-Hefttechnik .
Mozillas Implementierung von CRLite wird unter der kostenlosen MPL 2.0-Lizenz veröffentlicht. Der Code zum Generieren der Datenbank und der Serverkomponenten ist in Python und Go geschrieben. Die zu Firefox hinzugefügten Client-Teile zum Lesen von Daten aus der Datenbank werden in der Sprache Rust vorbereitet.
Quelle: https://blog.mozilla.org/