CRLite, Mozilla-ның TLS сертификатын растаудың жаңа тетігі

Firefox логотипі

Жақында Mozilla сертификаттарды анықтаудың жаңа механизмін іске қосқанын хабарлады күшін жою «CRLite» деп аталады және Firefox-тың түнгі нұсқаларында кездеседі. Бұл жаңа механизм тексеруді ұйымдастыруға мүмкіндік береді сертификатты тиімді қайтарып алу пайдаланушы жүйесінде орналастырылған дерекқорға қарсы.

Осы уақытқа дейін қолданылған сертификатты тексеру сыртқы қызметтерді пайдалану негізінде OCSP хаттамасында (Онлайн сертификат мәртебесінің хаттамасы) желіге кепілді қол жетімділікті қажет етеді, бұл сұранысты өңдеудің айтарлықтай кешігуіне әкеледі (орта есеппен 350 мс) және құпиялылыққа қатысты мәселелер (OCSP сұраныстарына жауап беретін серверлер пайдаланушының қай сайтты ашатындығын анықтауға болатын арнайы сертификаттар туралы ақпарат алады).

Сондай-ақ CRL-ге қарсы жергілікті тексеру мүмкіндігі бар (Куәліктің күшін жою тізімі), бірақ бұл әдістің кемшілігі - жүктелген деректердің үлкен өлшемі: Қазіргі уақытта куәліктің күшін жою туралы мәліметтер базасы шамамен 300 МБ құрайды және оның өсуі жалғасуда.

Firefox орталықтандырылған OneCRL қара тізімін қолданып келеді 2015 жылдан бастап ықтимал зиянды әрекеттерді анықтау үшін Google-дің қауіпсіз шолу қызметіне қол жеткізумен бірге сертификаттау органдары бұзған және қайтарып алған сертификаттарды бұғаттауға.

Chrome-дағы CRL жиындары сияқты OneCRL, сертификат беретін органдардың CRL тізімдерін біріктіретін аралық сілтеме ретінде әрекет етеді және қайтарып алынған сертификаттарды тексеру үшін бірыңғай орталықтандырылған OCSP қызметін ұсынады, бұл сертификат органдарына сұраныстарды тікелей жібермеуге мүмкіндік береді.

Әдепкі бойынша егер OCSP арқылы тексеру мүмкін болмаса, шолушы сертификатты жарамды деп санайды. Осылайша егер желідегі мәселелерге байланысты қызмет қол жетімді болмаса және ішкі желілік шектеулер немесе MITM шабуылы кезінде оны шабуылдаушылар блоктауы мүмкін. Мұндай шабуылдарды болдырмау үшін, Must-Staple техникасы енгізілген, бұл OCSP қателігін немесе OCSP қол жетімсіздігін сертификаттың проблемасы ретінде түсіндіруге мүмкіндік береді, бірақ бұл мүмкіндік міндетті емес және сертификатты арнайы тіркеуді қажет етеді.

CRLite туралы

CRLite барлық қайтарып алынған сертификаттар туралы толық ақпарат алуға мүмкіндік береді оңай жаңартылатын құрылымда тек 1 МБ, бұл бүкіл CRL мәліметтер базасын сақтауға мүмкіндік береді клиент жағында. Шолғыш жойылған сертификаттардағы деректердің көшірмесін күнделікті синхрондауға қабілетті болады және бұл мәліметтер базасы кез келген жағдайда қол жетімді болады.

CRLite сертификаттардың мөлдірлігі туралы ақпаратты біріктіреді, барлық берілген және қайтарып алынған сертификаттардың жалпыға бірдей жазбалары және Интернет-сертификаттарды сканерлеу нәтижелері (сертификаттау орталықтарының әртүрлі CRL тізімдері жинақталады және барлық белгілі сертификаттар туралы ақпарат қосылады).

Деректер Bloom сүзгілері арқылы жинақталған, жетіспейтін затты жалған анықтауға мүмкіндік беретін, бірақ бұрыннан бар элементтің алынып тасталуын болдырмайтын ықтимал құрылым (яғни, кейбір ықтималдықпен, жарамды сертификат үшін жалған позитивтер болуы мүмкін, бірақ қайтарып алынған сертификаттардың табылуына кепілдік беріледі).

Жалған дабылды жою үшін CRLite қосымша түзеткіш сүзгі деңгейлерін енгізді. Құрылым салынғаннан кейін барлық бастапқы жазбалар тізімделеді және жалған дабылдар анықталады.

Осы тексеру нәтижелері бойынша біріншісіне каскад жасайтын және туындаған жалған дабылдарды түзететін қосымша құрылым жасалады. Тексеру кезінде жалған позитивтер толығымен алынып тасталмайынша, операция қайталанады.

Әдеттебарлық деректерді толығымен қамту үшін 7-10 қабат құру жеткілікті. Мәліметтер базасының кезеңдік синхрондауына байланысты жағдайы CRL-нің ағымдағы күйінен сәл артта болғандықтан, CRLite дерекқорының соңғы жаңаруынан кейін берілген жаңа сертификаттарды тексеру OCSP протоколы, соның ішінде OCSP степлеу техникасын қолдану арқылы жүзеге асырылады. .

Mozilla CRLite-ті енгізу MPL 2.0 тегін лицензиясымен шығарылады. Деректер базасын құру коды және сервер компоненттері Python және Go-де жазылған. Мәліметтер базасынан деректерді оқу үшін Firefox-қа қосылған клиенттік бөліктер Rust тілінде дайындалған.

Дерек көзі: https://blog.mozilla.org/


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.