Bubar Mozilla ngumumake peluncuran mekanisme deteksi sertifikat anyar pambatalan diarani "CRLite" lan sing ditemokake ing versi Firefox ing wayah wengi. Mekanisme anyar iki ngidini ngatur verifikasi pencabutan sertifikat efektif nglawan basis data sing dianakake ing sistem pangguna.
Verifikasi sertifikat digunakake nganti saiki kanthi nggunakake layanan eksternal adhedhasar Ing protokol OCSP (Protokol Status Sertifikat Online) mbutuhake akses sing dijamin menyang jaringan, sing nyebabake keterlambatan proses pamrosesan panjaluk (rata-rata 350 ms) lan duwe masalah kerahasiaan (server sing nanggapi panjaluk OCSP entuk informasi babagan sertifikat tartamtu, sing bisa digunakake kanggo ngadili situs sing bakal dibukak pangguna).
Uga ana kemungkinan verifikasi lokal tumrap CRL (Dhaptar pencabutan sertifikat), nanging kekurangan metode iki yaiku ukuran data sing diunduh kanthi gedhe: Saiki database pencabutan sertifikat duwe udakara 300 MB lan tambahe terus.
Firefox wis nggunakake dhaptar ireng OneCRL terpusat wiwit 2015 kanggo mblokir sertifikat sing wis kompromi lan dicabut dening panguwasa sertifikasi bebarengan karo akses menyang layanan browsing Google sing aman kanggo nemtokake kegiatan jahat sing bisa ditindakake.
OneCRL, kaya CRLSets ing Chrome, tumindak minangka link tengah sing nggabungake dhaptar CRL panguwasa sertifikat lan nyedhiyakake layanan OCSP terpusat kanggo verifikasi sertifikat sing dicabut, saengga ora bisa ngirim panjaluk langsung menyang pejabat sertifikat.
Default, yen ora bisa verifikasi liwat OCSP, browser nganggep sertifikat kasebut bener. Kanthi cara iki yen layanan ora kasedhiya amarga ana masalah jaringan lan watesan jaringan internal utawa bisa dicekal dening para panyerang sajrone nyerang MITM. Kanggo nyegah serangan kasebut, teknik Must-Staple dileksanakake, sing ngidini kesalahan akses OCSP utawa ora bisa diakses OCSP bisa ditafsirake minangka masalah karo sertifikat kasebut, nanging fitur iki opsional lan mbutuhake registrasi khusus sertifikat.
Babagan CRLite
CRLite ngidini sampeyan nggawa informasi lengkap babagan kabeh sertifikat sing dicabut ing struktur sing gampang dianyari mung 1MB, saengga bisa nyimpen kabeh database CRL ing sisih klien. Browser bisa nyinkronake saben dinane salinan data ing sertifikat sing dicabut lan basis data iki bakal kasedhiya ing kahanan apa wae.
CRLite nggabungake informasi saka Transparansi Sertifikat, cathetan umum kabeh sertifikat sing diterbitake lan dicabut lan asil pemindaian sertifikat Internet (macem-macem dhaptar CRL pusat sertifikasi dikumpulake lan informasi babagan kabeh sertifikat sing dikenal ditambahake).
Data dikemas nggunakake filter Bloom, struktur probabilistik sing ngidini netepake palsu item sing ilang, nanging ora ngilangi ngilangi item sing wis ana (yaiku, kanthi kemungkinan, positip palsu bisa uga kanggo sertifikat sing sah, nanging sertifikat sing dicabut dijamin bisa dideteksi).
Kanggo ngilangi weker sing salah, CRLite nggawe level filter korektif tambahan. Sawise struktur dibangun, kabeh cathetan sumber didaftar lan weker palsu dideteksi.
Adhedhasar asil verifikasi iki, digawe struktur tambahan sing kaskade saka sing pertama lan mbenerake weker palsu sing ana. Operasi kasebut diulang nganti positip palsu pancen ora dikatutake sajrone verifikasi.
Biasaneal, kanggo nutupi kabeh data kanthi lengkap, nggawe 7-10 lapisan cukup. Amarga kahanan basis data amarga sinkronisasi periodik rada kurang saka kahanan CRL saiki, verifikasi sertifikat anyar sing diterbitake sawise nganyari pungkasan database CRLite ditindakake kanthi nggunakake protokol OCSP, kalebu panggunaan teknik stapling OCSP .
Implementasi CRLite Mozilla dirilis kanthi lisensi MPL 2.0 gratis. Kode kanggo ngasilake database lan komponen server ditulis ing Python and Go. Bagéan klien sing ditambahake ing Firefox kanggo maca data saka basis data wis siyap nganggo basa Rust.
sumber: https://blog.mozilla.org/
Dadi pisanan komentar