Recientemente Η Mozilla ανακοίνωσε την έναρξη ενός νέου μηχανισμού ανίχνευσης πιστοποιητικών ανάκληση ονομάζεται "CRLite" και το οποίο βρίσκεται στις νυχτερινές εκδόσεις του Firefox. Αυτός ο νέος μηχανισμός επιτρέπει την οργάνωση μιας επαλήθευσης αποτελεσματική ανάκληση πιστοποιητικού σε μια βάση δεδομένων που φιλοξενείται στο σύστημα ενός χρήστη.
Η επαλήθευση πιστοποιητικού χρησιμοποιείται μέχρι στιγμής με τη χρήση εξωτερικών υπηρεσιών που βασίζονται Στο πρωτόκολλο OCSP (Πρωτόκολλο κατάστασης πιστοποιητικού στο διαδίκτυο) απαιτεί εγγυημένη πρόσβαση στο δίκτυο, η οποία οδηγεί σε αισθητή καθυστέρηση στην επεξεργασία του αιτήματος (κατά μέσο όρο 350 ms) και έχει προβλήματα εμπιστευτικότητας (διακομιστές που ανταποκρίνονται σε αιτήματα. Το OCSP λαμβάνει πληροφορίες σχετικά με συγκεκριμένα πιστοποιητικά, τα οποία μπορούν να χρησιμοποιηθούν για να κρίνουν ποιες τοποθεσίες ανοίγει ένας χρήστης).
επίσης υπάρχει η δυνατότητα τοπικής επαλήθευσης έναντι του CRL (Λίστα ανάκλησης πιστοποιητικού), αλλά το μειονέκτημα αυτής της μεθόδου είναι το μεγάλο μέγεθος των ληφθέντων δεδομένων: Επί του παρόντος, η βάση δεδομένων ανάκλησης πιστοποιητικών καταλαμβάνει περίπου 300 MB και η ανάπτυξή της συνεχίζεται.
Ο Firefox χρησιμοποιεί τη συγκεντρωτική μαύρη λίστα OneCRL από το 2015 για τον αποκλεισμό πιστοποιητικών που έχουν παραβιαστεί και ανακληθεί από τις αρχές πιστοποίησης, καθώς και την πρόσβαση στην υπηρεσία ασφαλούς περιήγησης της Google για τον προσδιορισμό πιθανής κακόβουλης δραστηριότητας.
OneCRL, όπως CRLSets στο Chrome, ενεργεί ως ενδιάμεσος σύνδεσμος που συγκεντρώνει τους καταλόγους CRL των αρχών έκδοσης πιστοποιητικών και παρέχει μια ενιαία κεντρική υπηρεσία OCSP για την επαλήθευση των ανακληθέντων πιστοποιητικών, καθιστώντας δυνατή τη μη αποστολή αιτημάτων απευθείας στις αρχές έκδοσης πιστοποιητικών.
Προκαθορισμένο, Εάν δεν είναι δυνατή η επαλήθευση μέσω OCSP, το πρόγραμμα περιήγησης θεωρεί ότι το πιστοποιητικό είναι έγκυρο. Έτσι εάν η υπηρεσία δεν είναι διαθέσιμη λόγω προβλημάτων δικτύου και εσωτερικούς περιορισμούς δικτύου ή ότι μπορεί να αποκλειστεί από εισβολείς κατά τη διάρκεια μιας επίθεσης MITM. Για να αποφύγετε τέτοιες επιθέσεις, εφαρμόζεται η τεχνική Must-Staple, που επιτρέπει στο ερμηνευτικό σφάλμα OCSP ή την πρόσβαση στο OCSP να ερμηνευθεί ως πρόβλημα με το πιστοποιητικό, αλλά αυτή η δυνατότητα είναι προαιρετική και απαιτεί ειδική εγγραφή του πιστοποιητικού.
Σχετικά με το CRLite
Το CRLite σας επιτρέπει να φέρετε πλήρεις πληροφορίες σχετικά με όλα τα ανακληθέντα πιστοποιητικά σε μια εύκολα ανανεώσιμη δομή μόνο 1 MB, καθιστώντας δυνατή την αποθήκευση ολόκληρης της βάσης δεδομένων CRL από την πλευρά του πελάτη. Το πρόγραμμα περιήγησης θα μπορεί να συγχρονίζει καθημερινά το αντίγραφο των δεδομένων του στα ανακληθέντα πιστοποιητικά και αυτή η βάση δεδομένων θα είναι διαθέσιμη υπό οποιεσδήποτε συνθήκες.
Το CRLite συνδυάζει πληροφορίες από το Transparency Certificate, το δημόσιο αρχείο όλων των εκδοθέντων και ανακληθέντων πιστοποιητικών και τα αποτελέσματα σάρωσης πιστοποιητικών Διαδικτύου (συλλέγονται διάφοροι κατάλογοι CRL των κέντρων πιστοποίησης και προστίθενται πληροφορίες για όλα τα γνωστά πιστοποιητικά).
Τα δεδομένα συσκευάζονται χρησιμοποιώντας φίλτρα Bloom, μια πιθανολογική δομή που επιτρέπει έναν εσφαλμένο προσδιορισμό του αντικειμένου που λείπει, αλλά αποκλείει την παράλειψη ενός υπάρχοντος στοιχείου (δηλαδή, με κάποια πιθανότητα, είναι πιθανά ψευδώς θετικά για ένα έγκυρο πιστοποιητικό, αλλά τα ανακληθέντα πιστοποιητικά είναι εγγυημένα για ανίχνευση).
Για την εξάλειψη ψευδών συναγερμών, η CRLite εισήγαγε επιπλέον επίπεδα διορθωτικών φίλτρων. Μετά την κατασκευή της δομής, αναφέρονται όλες οι εγγραφές πηγής και εντοπίζονται ψευδείς συναγερμοί.
Με βάση τα αποτελέσματα αυτής της επαλήθευσης, δημιουργείται μια πρόσθετη δομή που καταρρέει από την πρώτη και διορθώνει τυχόν ψευδείς συναγερμούς που έχουν προκύψει. Η λειτουργία επαναλαμβάνεται έως ότου αποκλειστούν εντελώς ψευδώς θετικά κατά την επαλήθευση.
ΣυνήθωςΓια να καλύψουμε πλήρως όλα τα δεδομένα, αρκεί η δημιουργία 7-10 επιπέδων. Δεδομένου ότι η κατάσταση της βάσης δεδομένων λόγω του περιοδικού συγχρονισμού είναι ελαφρώς πίσω από την τρέχουσα κατάσταση του CRL, η επαλήθευση νέων πιστοποιητικών που εκδόθηκαν μετά την τελευταία ενημέρωση της βάσης δεδομένων CRLite πραγματοποιείται χρησιμοποιώντας το πρωτόκολλο OCSP, συμπεριλαμβανομένης της χρήσης της τεχνικής συρραφής OCSP .
Η εφαρμογή CRLite του Mozilla κυκλοφορεί με τη δωρεάν άδεια MPL 2.0. Ο κώδικας για τη δημιουργία της βάσης δεδομένων και τα στοιχεία του διακομιστή είναι γραμμένα σε Python και Go. Τα μέρη του πελάτη που προστέθηκαν στον Firefox για ανάγνωση δεδομένων από τη βάση δεδομένων προετοιμάζονται στη γλώσσα Rust.
πηγή: https://blog.mozilla.org/