CRLite, den neie Mechanismus vum Mozilla fir TLS Zertifika Validatioun

Firefox Logo

Viru kuerzem Mozilla huet de Start vun engem neie Certificat Detektiounsmechanismus ugekënnegt Ophiewe "CRLite" genannt an déi an den Nuetsversioune vu Firefox fonnt gëtt. Dësen neie Mechanismus erlaabt eng Verifikatioun z'organiséieren effikass Zertifikat Austrëtt géint eng Datebank déi am System vum Benotzer gehost gëtt.

D'Zertifika Verifikatioun bis elo benotzt mat der Benotzung vun externen Servicer baséiert Am OCSP Protokoll (Online Zertifika Status Protokoll) erfuerdert garantéierten Zougang zum Netz, wat zu enger bemierkenswäerte Verspéidung bei der Veraarbechtung vun der Ufro féiert (am Duerchschnëtt 350 ms) an huet Vertraulechkeetsthemen (Server déi op Ufroen äntweren OCSP kritt Informatioun iwwer spezifesch Zertifikater, déi kënne benotzt ginn fir ze beurteelen wéi eng Site e Benotzer opmaacht).

Och et ass d'Méiglechkeet vu lokaler Verifikatioun géint CRL (Zertifikat Ofkierzungslëscht), awer den Nodeel vun dëser Method ass déi grouss Gréisst vun den erofgeluedenen Daten: Momentan besetzt d'Zertifika Ofkierzung Datebank ongeféier 300 MB a säi Wuesstum geet weider.

Firefox huet déi zentraliséiert OneCRL schwaarz Lëscht benotzt zënter 2015 fir Zertifikater ze blockéieren déi kompromittéiert a vun Zertifizéierungsbehörden zréckgezunn sinn zesumme mam Zougang zum Google séchere Browserservice fir méiglech béiswëlleg Aktivitéit ze bestëmmen.

OneCRL, wéi CRLSets a Chrome, handelt als Zwëschenlink deen CRL Lëschte vun Zertifika Autoritéiten aggregéiert a bitt en eenzelen zentraliséierten OCSP Service fir zréckgezunn Zertifikaten ze verifizéieren, et mécht et méiglech net Ufroen direkt un d'Zertifikautoritéiten ze schécken.

Standard, wann et net méiglech ass iwwer OCSP z'iwwerpréiwen, hält de Browser de Certificat als gëlteg. Op dës Manéier wann de Service net verfügbar ass wéinst Netzwierkprobleemer an intern Netzwierkbeschränkungen oder datt et kann vun Ugräifer wärend engem MITM Attack blockéiert ginn. Fir sou Attacken ze vermeiden, d'Must-Staple Technik gëtt implementéiert, wouduerch den OCSP Zougangsfehler oder OCSP Inaccessibilitéit als Probleem mam Zertifika interpretéiert ka ginn, awer dës Feature ass optional a erfuerdert eng speziell Registréierung vum Zertifika.

Iwwer CRLite

CRLite erlaabt Iech komplett Informatioun iwwer all zréckgezunn Zertifikaten ze bréngen an enger liicht erneierbarer Struktur nëmmen 1 MB, et mécht et méiglech déi ganz CRL Datebank ze späicheren op der Clientssäit. De Browser wäert fäeg sinn all Dag seng Kopie vun den Daten an den zréckgezunnen Zertifikaten ze synchroniséieren an dës Datebank gëtt ënner all Konditioune verfügbar.

CRLite kombinéiert Informatioun aus Certificate Transparenz, den ëffentleche Rekord vun all erausginn an zréckgezunnen Zertifikaten an d'Resultater vum Internet Zertifika Scannen (verschidde CRL Lëschte vun Zertifizéierungszentere gi gesammelt an Informatiounen iwwer all bekannten Zertifikater ginn derbäi).

Date gi mat Bloom Filtere verpackt, eng probabilistesch Struktur déi eng falsch Determinatioun vum vermëssten Objet erméiglecht, awer d'Ausloossung vun engem existente Element ausgeschloss huet (dat ass, mat enger gewësser Wahrscheinlechkeet, falsch Positiver si méiglech fir e gültege Zertifika, awer zréckgezunn Zertifikater si garantéiert detektéiert).

Fir falsch Alarm z'eliminéieren, huet CRLite zousätzlech Korrekturfilterniveau agefouert. Nodeems d'Struktur gebaut gouf, ginn all Quellrecords opgezielt a falsch Alarm ginn detektéiert.

Baséierend op d'Resultater vun dëser Verifikatioun gëtt eng zousätzlech Struktur erstallt déi iwwer déi éischt kaskadéiert an all falsch Alarm korrigéiert déi entstane sinn. D'Operatioun gëtt widderholl bis falsch Positiver wärend der Verifikatioun komplett ausgeschloss sinn.

Normalerweisal, fir all d'Donnéeën voll ze decken, 7-10 Schichten ze schafen ass genuch. Well den Zoustand vun der Datebank wéinst periodescher Synchroniséierung liicht hannert dem aktuellen Zoustand vun der CRL ass, gëtt d'Verifikatioun vun neien Zertifikaten nom leschten Update vun der CRLite Datebank mam Protokoll OCSP ausgefouert, inklusiv d'Benotzung vun der OCSP Nouttechnik .

D'Ëmsetzung vu Mozilla vu CRLite gëtt ënner der gratis MPL 2.0 Lizenz verëffentlecht. De Code fir d'Datebank ze generéieren an d'Serverkomponente ginn a Python a Go geschriwwen. D'Clientdeeler déi u Firefox bäigefüügt gi fir Daten aus der Datebank ze liesen, sinn an der Rust Sprooch virbereet.

Source: https://blog.mozilla.org/


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.