Recentemente Mozilla ha annunciato il lancio di un nuovo meccanismo di rilevamento dei certificati revoca chiamato "CRLite" e che si trova nelle versioni notturne di Firefox. Questo nuovo meccanismo permette di organizzare una verifica revoca effettiva del certificato rispetto a un database ospitato sul sistema di un utente.
La verifica del certificato utilizzata finora con l'utilizzo di servizi esterni basati Nel protocollo OCSP (Protocollo di stato del certificato in linea) richiede un accesso garantito alla rete, il che comporta un notevole ritardo nell'elaborazione della richiesta (in media 350 ms) e presenta problemi di riservatezza (i server che rispondono alle richieste OCSP ottengono informazioni su specifici certificati, che possono essere utilizzati per giudicare quali siti un utente apre).
anche c'è la possibilità di verifica locale rispetto alla CRL (Elenco revoche certificati), ma lo svantaggio di questo metodo è la grande dimensione dei dati scaricati- Attualmente il database di revoca dei certificati occupa circa 300 MB e la sua crescita continua.
Firefox ha utilizzato la blacklist centralizzata di OneCRL dal 2015 per bloccare i certificati che sono stati compromessi e revocati dalle autorità di certificazione insieme all'accesso al servizio di navigazione sicura di Google per determinare possibili attività dannose.
OneCRL, come CRLSet in Chrome, funge da collegamento intermedio che aggrega gli elenchi CRL delle autorità di certificazione e fornisce un unico servizio OCSP centralizzato per la verifica dei certificati revocati, consentendo di non inviare richieste direttamente alle autorità di certificazione.
Predefinito, se non è possibile verificare tramite OCSP, il browser considera valido il certificato. Così se il servizio non è disponibile a causa di problemi di rete e limitazioni della rete interna o che può essere bloccato dagli aggressori durante un attacco MITM. Per evitare tali attacchi, viene implementata la tecnica Must-Staple, che consente di interpretare l'errore di accesso OCSP o l'inaccessibilità OCSP come un problema con il certificato, ma questa funzione è opzionale e richiede una registrazione speciale del certificato.
Informazioni su CRLite
CRLite ti consente di portare informazioni complete su tutti i certificati revocati in una struttura facilmente rinnovabile solo 1 MB, consentendo di memorizzare l'intero database CRL lato client. Il browser sarà in grado di sincronizzare quotidianamente la propria copia dei dati nei certificati revocati e questo database sarà disponibile in qualsiasi condizione.
CRLite combina le informazioni di Certificate Transparency, la registrazione pubblica di tutti i certificati emessi e revocati e i risultati della scansione dei certificati Internet (vengono raccolti vari elenchi CRL dei centri di certificazione e vengono aggiunte informazioni su tutti i certificati noti).
I dati vengono compressi utilizzando i filtri Bloom, una struttura probabilistica che consente una falsa determinazione dell'elemento mancante, ma esclude l'omissione di un elemento esistente (ovvero, con una certa probabilità, sono possibili falsi positivi per un certificato valido, ma è garantito il rilevamento dei certificati revocati).
Per eliminare i falsi allarmi, CRLite ha introdotto livelli di filtri correttivi aggiuntivi. Dopo la costruzione della struttura, vengono elencati tutti i record di origine e vengono rilevati i falsi allarmi.
Sulla base dei risultati di questa verifica, viene creata una struttura aggiuntiva che si sovrappone alla prima e corregge eventuali falsi allarmi che si sono verificati. L'operazione viene ripetuta fino a quando i falsi positivi non vengono completamente esclusi durante la verifica.
Generalmenteal, per coprire completamente tutti i dati, è sufficiente creare 7-10 livelli. Poichè lo stato del database dovuto alla sincronizzazione periodica è leggermente indietro rispetto allo stato attuale della CRL, la verifica dei nuovi certificati emessi dopo l'ultimo aggiornamento del database CRLite viene effettuata utilizzando il protocollo OCSP, compreso l'utilizzo della tecnica di cucitura OCSP .
L'implementazione CRLite di Mozilla è rilasciata con la licenza gratuita MPL 2.0. Il codice per generare il database e i componenti del server sono scritti in Python e Go. Le parti client aggiunte a Firefox per leggere i dati dal database sono preparate nel linguaggio Rust.
fonte: https://blog.mozilla.org/