CRLite, la nova mekanismo de Mozilla por validigi atestilon TLS

Logo Firefox

Lastatempe Mozilla anoncis la lanĉon de nova atestila detektilo revoko nomata "CRLite" kaj kiu troviĝas en la noktaj versioj de Firefox. Ĉi tiu nova mekanismo permesas organizi kontrolon efika atestila revoko kontraŭ datumbazo gastigita en sistemo de uzanto.

La atestila konfirmo uzata ĝis nun kun la uzo de eksteraj servoj bazitaj En la OCSP-protokolo (Interreta Atesta Statuta Protokolo) postulas garantiitan aliron al la reto, kio kaŭzas rimarkindan prokraston prilabori la peton (averaĝe 350 ms) kaj havas konfidencajn problemojn (serviloj respondantaj al petoj OCSP ricevas informojn pri specifaj atestiloj, kiuj povas esti uzataj por juĝi kiujn retejojn malfermas uzanto).

Ankaŭ ekzistas la eblo de loka konfirmo kontraŭ CRL (Atestila revoka listo), sed la malavantaĝo de ĉi tiu metodo estas la granda grandeco de la elŝutitaj datumoj: Nuntempe la atestila revoka datumbazo okupas ĉirkaŭ 300 MB kaj ĝia kresko daŭras.

Fajrovulpo uzis la centraligitan OneCRL-nigran liston ekde 2015 por bloki atestilojn, kiuj estis kompromititaj kaj nuligitaj de atestaj aŭtoritatoj kune kun aliro al la sekura foliuma servo de Google por determini eblan malican agadon.

OneCRL, kiel CRLSets en Chrome, rolas kiel meza ligo, kiu agregas listojn de CRL de atestilaj aŭtoritatoj kaj disponigas ununuran alcentrigitan OCSP-servon por kontroli nuligitajn atestilojn, ebligante ne sendi petojn rekte al atestilaj aŭtoritatoj.

Apriora, se ne eblas kontroli per OCSP, la retumilo konsideras la atestilon valida. tiel se la servo ne disponeblas pro retaj problemoj kaj internaj retaj limigoj aŭ ke ĝi povas esti blokita de atakantoj dum MITM-atako. Por eviti tiajn atakojn, la Must-Staple-tekniko estas efektivigita, kiu permesas al la OCSP-alira eraro aŭ OCSP-neatingebleco esti interpretita kiel problemo kun la atestilo, sed ĉi tiu funkcio estas nedeviga kaj postulas specialan registradon de la atestilo.

Pri CRLite

CRLite permesas al vi alporti kompletajn informojn pri ĉiuj nuligitaj atestiloj en facile renovigebla strukturo nur 1 MB, ebligante konservi la tutan CRL-datumbazon ĉe la klienta flanko. La retumilo povos ĉiutage sinkronigi sian kopion de la datumoj en la nuligitaj atestiloj kaj ĉi tiu datumbazo estos disponebla en iuj kondiĉoj.

CRLite kombinas informojn de Atestilo-Travidebleco, la publika registro de ĉiuj eldonitaj kaj nuligitaj atestiloj kaj la rezultoj de interreta atestila skanado (diversaj listoj de atestiloj de CRL estas kolektitaj kaj aldoniĝas informoj pri ĉiuj konataj atestiloj).

Datumoj estas plenplenigitaj per Bloom-filtriloj, probabla strukturo, kiu permesas falsan determinadon de la mankanta ero, sed ekskludas la preterlason de ekzistanta ero (tio estas, kun iom da verŝajneco, falsaj pozitivoj eblas por valida atestilo, sed revokitaj atestiloj estas garantiitaj por esti detektitaj).

Por forigi falsajn alarmojn, CRLite enkondukis aldonajn korektajn filtrilajn nivelojn. Post kiam la strukturo estas konstruita, ĉiuj fontaj registroj estas listigitaj kaj falsaj alarmoj estas detektitaj.

Surbaze de la rezultoj de ĉi tiu konfirmo, kroma strukturo estas kreita, kiu falas super la unua kaj korektas iujn ajn falsajn alarmojn, kiuj aperis. La operacio ripetiĝas ĝis falsaj pozitivoj estas tute ekskluditaj dum kontrolado.

Kutimeal, por tute kovri ĉiujn datumojn, sufiĉas krei 7-10 tavolojn. Ĉar la stato de la datumbazo pro perioda sinkronigado iomete malantaŭ la aktuala stato de la CRL, la konfirmo de novaj atestiloj eldonitaj post la lasta ĝisdatigo de la CRLite-datumbazo efektivigas per la protokolo OCSP, inkluzive la uzon de la OCSP-agrafa tekniko. .

La efektivigo de Mozilla de CRLite estas liberigita sub la senpaga licenco MPL 2.0. La kodo por generi la datumbazon kaj la servilajn komponantojn estas skribita en Python kaj Go. La klientaj partoj aldonitaj al Fajrovulpo por legi datumojn de la datumbazo estas preparitaj en la lingvo Rust.

Fonto: https://blog.mozilla.org/


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

Estu la unua por komenti

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita.

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

bool (vera)