Recientemente Mozilla mengumumkan peluncuran mekanisme deteksi sertifikat baru pencabutan disebut "CRLite" dan yang ditemukan di Firefox versi malam. Mekanisme baru ini memungkinkan untuk mengatur verifikasi pencabutan sertifikat efektif terhadap database yang dihosting di sistem pengguna.
Verifikasi sertifikat yang digunakan sejauh ini dengan penggunaan layanan eksternal berbasis Dalam protokol OCSP (Protokol Status Sertifikat Online) membutuhkan akses terjamin ke jaringan, yang menyebabkan penundaan yang nyata dalam memproses permintaan (rata-rata 350 ms) dan memiliki masalah kerahasiaan (server yang menanggapi permintaan OCSP mendapatkan informasi tentang sertifikat tertentu, yang dapat digunakan untuk menilai situs mana yang dibuka pengguna).
juga ada kemungkinan verifikasi lokal terhadap CRL (Daftar pencabutan sertifikat), tetapi kelemahan dari metode ini adalah ukuran data yang diunduh besar: Saat ini database pencabutan sertifikat menempati sekitar 300 MB dan pertumbuhannya terus berlanjut.
Firefox telah menggunakan daftar hitam OneCRL terpusat sejak 2015 untuk memblokir sertifikat yang disusupi dan dicabut oleh otoritas sertifikasi bersama dengan akses ke layanan penjelajahan aman Google untuk menentukan kemungkinan aktivitas berbahaya.
OneCRL, seperti CRLSets di Chrome, bertindak sebagai tautan perantara yang menggabungkan daftar CRL otoritas sertifikat dan menyediakan satu layanan OCSP terpusat untuk memverifikasi sertifikat yang dicabut, sehingga memungkinkan untuk tidak mengirim permintaan secara langsung ke otoritas sertifikat.
Default, jika tidak mungkin untuk memverifikasi melalui OCSP, browser menganggap sertifikat tersebut valid. Dengan cara ini jika layanan tidak tersedia karena masalah jaringan dan pembatasan jaringan internal atau dapat diblokir oleh penyerang selama serangan MITM. Untuk menghindari serangan seperti itu, teknik Must-Staple diterapkan, yang memungkinkan kesalahan akses OCSP atau tidak dapat diaksesnya OCSP diinterpretasikan sebagai masalah dengan sertifikat, tetapi fitur ini opsional dan memerlukan pendaftaran khusus atas sertifikat tersebut.
Tentang CRLite
CRLite memungkinkan Anda membawa informasi lengkap tentang semua sertifikat yang dicabut dalam struktur yang mudah diperbarui hanya 1 MB, sehingga memungkinkan untuk menyimpan seluruh database CRL di sisi klien. Browser akan dapat setiap hari menyinkronkan salinan datanya dalam sertifikat yang dicabut dan database ini akan tersedia dalam kondisi apapun.
CRLite menggabungkan informasi dari Transparansi Sertifikat, catatan publik dari semua sertifikat yang dikeluarkan dan dicabut dan hasil pemindaian sertifikat Internet (berbagai daftar CRL dari pusat sertifikasi dikumpulkan dan informasi tentang semua sertifikat yang diketahui ditambahkan).
Data dikemas menggunakan filter Bloom, struktur probabilistik yang memungkinkan penentuan yang salah dari item yang hilang, tetapi mengecualikan kelalaian item yang ada (yaitu, dengan beberapa kemungkinan, positif palsu dimungkinkan untuk sertifikat yang valid, tetapi sertifikat yang dicabut dijamin akan terdeteksi).
Untuk menghilangkan alarm palsu, CRLite memperkenalkan level filter korektif tambahan. Setelah struktur dibangun, semua catatan sumber dicantumkan dan alarm palsu terdeteksi.
Berdasarkan hasil verifikasi ini, struktur tambahan dibuat yang bertingkat di atas yang pertama dan mengoreksi alarm palsu yang muncul. Operasi diulangi sampai positif palsu benar-benar dikecualikan selama verifikasi.
Biasanyaal, untuk menutupi semua data sepenuhnya, membuat 7-10 lapisan sudah cukup. Karena status database karena sinkronisasi berkala sedikit di belakang status CRL saat ini, verifikasi sertifikat baru yang dikeluarkan setelah pembaruan terakhir database CRLite dilakukan menggunakan protokol OCSP, termasuk penggunaan teknik penjepitan OCSP. .
Implementasi CRLite oleh Mozilla dirilis di bawah lisensi MPL 2.0 gratis. Kode untuk menghasilkan database dan komponen server ditulis dengan Python dan Go. Bagian klien yang ditambahkan ke Firefox untuk membaca data dari database disiapkan dalam bahasa Rust.
sumber: https://blog.mozilla.org/