äskettäin Mozilla ilmoitti uuden varmenteen tunnistusmekanismin käynnistämisestä peruuttaminen nimeltään "CRLite" ja joka löytyy Firefoxin öisistä versioista. Tämä uusi mekanismi avulla voidaan järjestää todentaminen varmenteen todellinen peruuttaminen käyttäjän järjestelmässä isännöityyn tietokantaan.
Tähän mennessä käytetty varmenteen vahvistus ulkoisten palvelujen avulla OCSP-protokollassa (Online Certificate Status Protocol) vaatii taatun pääsyn verkkoon, mikä johtaa huomattavaan viiveeseen pyynnön käsittelyssä (keskimäärin 350 ms) ja sillä on luottamuksellisuusongelmia (OCSP: n pyyntöihin vastaavat palvelimet saavat tietoa tietyistä varmenteista, joiden avulla voidaan arvioida, mitkä sivustot käyttäjä avaa).
myös on mahdollista suorittaa paikallinen tarkastus vertailulaboratoriota vastaan (Varmenteen kumoamisluettelo), mutta tämän menetelmän haittana on ladattujen tietojen suuri koko: Tällä hetkellä varmenteiden peruutustietokannassa on noin 300 Mt ja sen kasvu jatkuu.
Firefox on käyttänyt keskitettyä OneCRL-mustaa listaa vuodesta 2015 lähtien estää varmenteet, jotka sertifiointiviranomaiset ovat vaarantaneet ja peruuttaneet, sekä pääsy Googlen turvalliseen selauspalveluun mahdollisen haitallisen toiminnan selvittämiseksi.
OneCRL, kuten CRLSets Chromessa, toimii välilinkkinä, joka kokoaa varmenneviranomaisten CRL-luettelot ja tarjoaa yhden keskitetyn OCSP-palvelun peruutettujen varmenteiden tarkistamiseksi, mikä tekee mahdolliseksi olla lähettämättä pyyntöjä suoraan varmenneviranomaisille.
oletusarvoisesti jos todentaminen OCSP: n kautta ei ole mahdollista, selain pitää varmentetta kelvollisena. näin jos palvelu ei ole käytettävissä verkko-ongelmien takia ja sisäisen verkon rajoitukset tai että hyökkääjät voivat estää sen MITM-hyökkäyksen aikana. Tällaisten hyökkäysten välttämiseksi must-Staple-tekniikka toteutetaan, joka sallii OCSP: n käyttövirheen tai OCSP: n käyttämättömyyden tulkita varmenteen ongelmaksi, mutta tämä ominaisuus on valinnainen ja edellyttää varmenteen erityistä rekisteröintiä.
Tietoja CRLite-palvelusta
CRLite-sovelluksen avulla voit tuoda täydelliset tiedot kaikista peruutetuista varmenteista helposti uusiutuvassa rakenteessa vain 1 Mt, jolloin koko CRL-tietokanta on mahdollista tallentaa asiakkaan puolella. Selain pystyy synkronoimaan kopionsa peruutettujen varmenteiden tiedoista päivittäin, ja tämä tietokanta on käytettävissä kaikissa olosuhteissa.
CRLite yhdistää varmenteen läpinäkyvyydestä, kaikkien myönnettyjen ja peruutettujen varmenteiden julkinen rekisteri ja Internet-varmenteiden skannauksen tulokset (kerätään erilaisia sertifikaattikeskusten luetteloita ja lisätään tietoja kaikista tunnetuista varmenteista).
Tiedot pakataan Bloom-suodattimilla, todennäköisyysrakenne, joka sallii puuttuvan kohteen väärän määrittämisen, mutta sulkee pois olemassa olevan kohteen pois jättämisen (toisin sanoen kelvolliset varmenteet ovat varmoja, mutta peruutetut varmenteet voidaan taata).
Väärien hälytysten poistamiseksi CRLite otti käyttöön lisää korjaavia suodatustasoja. Kun rakenne on rakennettu, kaikki lähdetietueet luetellaan ja väärät hälytykset havaitaan.
Tämän todentamisen tulosten perusteella luodaan lisärakenne, joka etenee ensimmäisen päälle ja korjaa mahdolliset väärät hälytykset. Operaatio toistetaan, kunnes väärät positiiviset tulokset suljetaan kokonaan pois tarkastuksen aikana.
YleensäKaikkien tietojen kattamiseksi kokonaan riittää 7-10 kerroksen luominen. Koska säännöllisen synkronoinnin aiheuttama tietokannan tila on hieman jäljessä CRL: n nykytilasta, CRLite-tietokannan viimeisimmän päivityksen jälkeen annettujen uusien varmenteiden tarkistus suoritetaan protokollalla OCSP, mukaan lukien OCSP-nidontatekniikan käyttö.
Mozillan CRLite-toteutus julkaistaan ilmaisella MPL 2.0 -lisenssillä. Tietokannan ja palvelinkomponenttien luomiseen tarkoitettu koodi kirjoitetaan Python ja Go -käyttöjärjestelmissä. Firefoxiin tietokannan tietojen lukemiseksi lisätyt asiakasosat valmistellaan Rust-kielellä.
lähde: https://blog.mozilla.org/