Įtraukta Pastaruoju metu „Mozilla“ paskelbė paleidusi naują sertifikatų aptikimo mechanizmą atšaukimas pavadinimu „CRLite“ ir kuris yra naktinėse „Firefox“ versijose. Šis naujas mechanizmas leidžia organizuoti patikrinimą galiojantis sertifikato panaikinimas duomenų bazėje, esančioje vartotojo sistemoje.
Iki šiol naudojamas sertifikato patikrinimas naudojant išorines paslaugas OCSP protokole (Internetinis sertifikato būsenos protokolas) reikalinga garantuota prieiga prie tinklo, dėl to pastebimai vėluojama apdoroti užklausą (vidutiniškai 350 ms) ir kyla konfidencialumo problemų (serveriai, atsakantys į užklausas, OCSP gauna informaciją apie konkrečius sertifikatus, pagal kuriuos galima spręsti, kurias svetaines vartotojas atidaro).
taip pat yra galimybė atlikti vietinį patikrinimą pagal BEL (Sertifikato atšaukimo sąrašas), tačiau šio metodo trūkumas yra didelis atsisiųstų duomenų dydis: Šiuo metu sertifikatų atšaukimo duomenų bazė užima apie 300 MB ir jos augimas tęsiasi.
„Firefox“ naudojo centralizuotą „OneCRL“ juodąjį sąrašą nuo 2015 m. blokuoti pažeistus ir panaikintus sertifikavimo institucijų sertifikatus, taip pat prieigą prie saugios „Google“ naršymo paslaugos, siekiant nustatyti galimą kenkėjišką veiklą.
„OneCRL“, kaip ir „CRLSets“ naršyklėje „Chrome“, veikia kaip tarpinė grandis, sudedanti sertifikavimo institucijų BEL sąrašus ir teikia vieną centralizuotą OCSP paslaugą, kad būtų galima patikrinti panaikintus sertifikatus, kad būtų galima nesiųsti užklausų tiesiogiai sertifikatų institucijoms.
Pagal numatytuosius nustatymus jei nepavyksta patikrinti per OCSP, naršyklė mano, kad sertifikatas yra galiojantis. Tokiu būdu jei paslauga nepasiekiama dėl tinklo problemų ir vidaus tinklo apribojimai arba kad užpuolikai gali jį užblokuoti MITM atakos metu. Norėdami išvengti tokių išpuolių, įdiegta „Must-Staple“ technika, leidžiantis OCSP prieigos klaidą ar OCSP nepasiekiamumą interpretuoti kaip pažymos problemą, tačiau ši funkcija yra neprivaloma ir reikalauja specialios sertifikato registracijos.
Apie CRLite
„CRLite“ leidžia jums pateikti išsamią informaciją apie visus panaikintus sertifikatus lengvai atnaujinamoje struktūroje tik 1 MB, todėl galima išsaugoti visą CRL duomenų bazę kliento pusėje. Naršyklė galės kasdien sinchronizuoti atšauktų sertifikatų duomenų kopijas ir ši duomenų bazė bus prieinama bet kokiomis sąlygomis.
„CRLite“ sujungia informaciją iš sertifikato skaidrumo, visų išduotų ir atšauktų sertifikatų viešas įrašas ir interneto sertifikatų nuskaitymo rezultatai (renkami įvairūs BEL sertifikatų centrų sąrašai ir pridedama informacija apie visus žinomus sertifikatus).
Duomenys supakuoti naudojant „Bloom“ filtrus, tikimybinė struktūra, leidžianti klaidingai nustatyti trūkstamą daiktą, tačiau neįtraukianti esamo daikto (tai yra, su tam tikra tikimybe, galiojančiam pažymėjimui galimi klaidingi teigiami teiginiai, tačiau garantuotai bus atrasti atšaukti sertifikatai).
Norėdami pašalinti klaidingus pavojaus signalus, CRLite nustatė papildomus korekcinius filtrų lygius. Sukūrus struktūrą, išvardyti visi šaltinių įrašai ir aptikti klaidingi pavojaus signalai.
Remiantis šio patikrinimo rezultatais, sukuriama papildoma struktūra, kuri pakyla virš pirmosios ir ištaiso visus klaidingus pavojaus signalus. Operacija kartojama tol, kol patikrinimo metu bus visiškai pašalinta klaidinga.
Paprastaial, norint visiškai padengti visus duomenis, pakanka sukurti 7–10 sluoksnių. Kadangi duomenų bazės būklė dėl periodinio sinchronizavimo šiek tiek atsilieka nuo dabartinės BEL versijos, naujų sertifikatų, išduotų po paskutinio CRLite duomenų bazės atnaujinimo, tikrinimas atliekamas naudojant protokolą OCSP, įskaitant OCSP susegimo technikos naudojimą.
„Mozilla“ įdiegta „CRLite“ yra išleista pagal nemokamą „MPL 2.0“ licenciją. Kodas, skirtas generuoti duomenų bazę, ir serverio komponentai rašomi „Python and Go“. Kliento dalys, pridėtos prie „Firefox“, norint nuskaityti duomenis iš duomenų bazės, yra parengtos „Rust“ kalba.
Fuente: https://blog.mozilla.org/