CRLite ، سازوکار جدید موزیلا برای اعتبار سنجی گواهی TLS

آرم Firefox

Recientemente موزیلا از راه اندازی مکانیزم جدید شناسایی گواهینامه خبر داد ابطال "CRLite" نامیده می شود و در نسخه های شبانه Firefox یافت می شود. این مکانیزم جدید اجازه می دهد تا یک تأیید را سازماندهی کنیم لغو گواهی موثر در برابر یک پایگاه داده میزبانی شده در سیستم کاربر.

تأیید گواهی تاکنون استفاده شده است با استفاده از خدمات خارجی مبتنی بر در پروتکل OCSP (پروتکل وضعیت گواهی آنلاین) نیاز به دسترسی تضمینی به شبکه دارد ، که منجر به تاخیر قابل ملاحظه ای در پردازش درخواست می شود (به طور متوسط ​​350 میلی ثانیه) و دارای مشکلات محرمانه است (سرورهایی که به درخواست ها پاسخ می دهند OCSP اطلاعات مربوط به گواهینامه های خاص را دریافت می کند ، که می تواند برای قضاوت در باز کردن یک سایت توسط کاربر مورد استفاده قرار گیرد).

همچنین امکان تأیید محلی در برابر CRL وجود دارد (لیست لغو گواهی) ، اما نقطه ضعف این روش حجم زیاد داده های بارگیری شده است: در حال حاضر پایگاه داده لغو گواهی حدود 300 مگابایت را اشغال می کند و رشد آن همچنان ادامه دارد.

Firefox از لیست سیاه OneCRL متمرکز استفاده کرده است از سال 2015 برای جلوگیری از مجوزهایی که توسط مقامات صدور گواهینامه به خطر افتاده و لغو شده اند ، همراه با دسترسی به سرویس مرور ایمن Google برای تعیین فعالیت مخرب احتمالی.

OneCRL ، مانند CRLSets در Chrome ، به عنوان یک لینک میانی عمل می کند که لیست های CRL مراجع گواهی را جمع می کند و یک سرویس واحد متمرکز OCSP برای تأیید گواهینامه های لغو شده ارائه می دهد ، این امکان را می دهد که درخواست ها را مستقیماً به مقامات گواهی ارسال نکنید.

پیش فرض ، اگر تأیید از طریق OCSP امکان پذیر نباشد ، مرورگر گواهی را معتبر می داند. به این ترتیب اگر سرویس به دلیل مشکلات شبکه در دسترس نباشد و محدودیت های شبکه داخلی یا اینکه می تواند توسط مهاجمین در هنگام حمله MITM مسدود شود. برای جلوگیری از چنین حملاتی ، روش Must-Staple اجرا شده است ، که اجازه می دهد خطای دسترسی OCSP یا غیرقابل دسترسی بودن OCSP به عنوان مشکلی در گواهی تفسیر شود ، اما این ویژگی اختیاری است و نیاز به ثبت خاص گواهی دارد.

درباره CRLite

CRLite به شما امکان می دهد اطلاعات کاملی در مورد تمام گواهینامه های لغو شده به همراه داشته باشید در یک ساختار به راحتی تجدید پذیر فقط 1 مگابایت ، ذخیره کل پایگاه داده CRL را امکان پذیر می کند در سمت مشتری. مرورگر می تواند روزانه کپی داده های خود را در گواهی های لغو شده همگام سازی کند و این پایگاه داده تحت هر شرایطی در دسترس خواهد بود.

CRLite ترکیبی از اطلاعات شفافیت گواهی است ، سوابق عمومی کلیه گواهینامه های صادر شده و لغو شده و نتایج اسکن گواهینامه اینترنت (لیست های مختلف CRL مراکز صدور گواهینامه جمع آوری شده و اطلاعات مربوط به کلیه گواهینامه های شناخته شده اضافه می شود).

داده ها با استفاده از فیلترهای بلوم بسته بندی می شوند، یک ساختار احتمالی که امکان تعیین نادرست مورد گمشده را فراهم می کند ، اما حذف مورد موجود را از بین می برد (یعنی با وجود برخی احتمالات ، موارد مثبت کاذب برای یک گواهینامه معتبر امکان پذیر است ، اما شناسایی گواهی های باطل شده تضمین می شود).

برای از بین بردن هشدارهای دروغین ، CRLite سطوح فیلتر اصلاحی اضافی را معرفی کرد. پس از ساخت سازه ، تمام سوابق منبع لیست شده و هشدارهای دروغین شناسایی می شوند.

بر اساس نتایج این تأیید ، یک ساختار اضافی ایجاد می شود که بیش از ساختار اول سقوط می کند و هشدارهای نادرست ایجاد شده را اصلاح می کند. این عملیات تکرار می شود تا زمانی که در هنگام تأیید ، موارد مثبت نادرست کاملاً حذف شوند.

معمولاal ، برای پوشش کامل تمام داده ها ، ایجاد 7-10 لایه کافی است. از آنجا که وضعیت پایگاه داده به دلیل همگام سازی دوره ای کمی از وضعیت فعلی CRL عقب است ، تأیید گواهینامه های جدید صادر شده پس از آخرین به روزرسانی پایگاه داده CRLite با استفاده از پروتکل OCSP ، از جمله استفاده از تکنیک منگنه OCSP انجام می شود .

اجرای CRLite موزیلا تحت مجوز رایگان MPL 2.0 منتشر شده است. کد تولید پایگاه داده و اجزای سرور در Python و Go نوشته شده است. قسمت های مشتری برای خواندن داده ها از پایگاه داده به Firefox اضافه می شوند به زبان Rust آماده می شوند.

Fuente: https://blog.mozilla.org/


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.