Recientemente Mozilla teatas uue sertifikaatide tuvastamise mehhanismi käivitamisest tühistamine nimega "CRLite" ja mis on öösel Firefoxi versioonides. See uus mehhanism võimaldab korraldada kontrollimist sertifikaadi tõhus tühistamine kasutaja süsteemis hostitud andmebaasi vastu.
Seni kasutatud sertifikaadi kontroll väliste teenuste kasutamisega OCSP-protokollis (Interneti-sertifikaadi oleku protokoll) nõuab tagatud juurdepääsu võrgule, mis viib päringu töötlemisel märgatava viivituseni (keskmiselt 350 ms) ja on konfidentsiaalsusprobleemidega (päringutele vastavad serverid saavad OCSP-l teavet konkreetsete sertifikaatide kohta, mille abil saab otsustada, milliseid saite kasutaja avab).
ka on olemas kohalik kontroll CRL-i suhtes (Sertifikaatide tühistamise loend), kuid selle meetodi puuduseks on allalaaditud andmete suur suurus- Praegu on sertifikaatide tühistamise andmebaas umbes 300 MB ja selle kasv jätkub.
Firefox on kasutanud OneCRLi tsentraliseeritud musta nimekirja alates 2015. aastast blokeerida sertifikaatide poolt rikutud ja tühistatud sertifikaadid koos võimaliku pahatahtliku tegevuse tuvastamiseks juurdepääsuga Google'i turvalisele sirvimisteenusele.
OneCRL, nagu Chrome'i CRLSetid, toimib vaheringina, mis koondab sertifitseerimisasutuste CRL-i loendid ning pakub tühistatud sertifikaatide kontrollimiseks ühe tsentraliseeritud OCSP-teenuse, mis võimaldab taotlusi otse sertifikaadiasutustele mitte saata.
Vaikimisi kui OCSP kaudu pole seda võimalik kontrollida, peab brauser sertifikaati kehtivaks. Seega kui teenus pole võrguprobleemide tõttu saadaval ja sisevõrgu piirangud või et ründajad saavad selle blokeerida MITM-i rünnaku ajal. Selliste rünnakute vältimiseks rakendatakse must-klammerdamise tehnikat, mis võimaldab tõlgendada OCSP juurdepääsuviga või OCSP ligipääsmatust kui sertifikaadi probleemi, kuid see funktsioon on valikuline ja nõuab sertifikaadi spetsiaalset registreerimist.
Teave CRLite'i kohta
CRLite võimaldab teil tuua täieliku teabe kõigi tühistatud sertifikaatide kohta kergesti taastuvas struktuuris ainult 1 MB, mis võimaldab salvestada kogu CRL-i andmebaasi kliendi poolel. Brauser saab iga päev sünkroonida tühistatud sertifikaatides olevate andmete koopia ja see andmebaas on saadaval mis tahes tingimustel.
CRLite ühendab sertifikaatide läbipaistvuse, kõigi väljastatud ja tühistatud sertifikaatide avalik register ning Interneti-sertifikaatide skaneerimise tulemused (kogutakse erinevaid sertifitseerimiskeskuste ühenduse tugilaberi loendeid ja lisatakse teave kõigi teadaolevate sertifikaatide kohta).
Andmed pakitakse Bloomi filtrite abil, tõenäosusstruktuur, mis võimaldab puuduva elemendi valet tuvastamist, kuid välistab olemasoleva üksuse väljajätmise (see tähendab, et teatud tõenäosusega on kehtiva sertifikaadi puhul võimalik valepositiivsus, kuid tagasitõmmatud sertifikaatide tuvastamine on tagatud).
Valehäirete kõrvaldamiseks kehtestas CRLite täiendavad korrigeerivad filtritasemed. Pärast struktuuri ehitamist loetletakse kõik lähtekirjed ja tuvastatakse valehäired.
Selle kontrollimise tulemuste põhjal luuakse täiendav struktuur, mis langeb üle esimese ja parandab tekkinud valehäireid. Operatsiooni korratakse seni, kuni valepositiivsus kontrollimise ajal täielikult välistatakse.
TavaliseltKõikide andmete täielikuks katmiseks piisab 7-10 kihi loomisest. Kuna perioodilise sünkroniseerimise tõttu on andmebaasi olek CRL-i hetkeseisust veidi maas, kontrollitakse pärast CRLite-i andmebaasi viimast värskendamist välja antud uute sertifikaatide kasutamist protokolli abil OCSP, sealhulgas OCSP klammerdamistehnika kasutamine.
Mozilla CRLite'i rakendus on välja antud tasuta MPL 2.0 litsentsi all. Andmebaasi ja serveri komponentide genereerimiseks mõeldud kood on kirjutatud Python ja Go. Andmebaasist andmete lugemiseks Firefoxi lisatud kliendi osad on ette valmistatud Rust keeles.
allikas: https://blog.mozilla.org/