Nesen Mozilla paziņoja par jauna sertifikātu noteikšanas mehānisma palaišanu atsaukšana ar nosaukumu "CRLite" un kas ir atrodams Firefox nakts versijās. Šis jaunais mehānisms ļauj organizēt pārbaudi efektīva sertifikāta atsaukšana pret lietotāja sistēmā mitinātu datu bāzi.
Līdz šim izmantotā sertifikāta pārbaude izmantojot ārējos pakalpojumus OCSP protokolā (Tiešsaistes sertifikāta statusa protokols) nepieciešama garantēta piekļuve tīklam, kas noved pie ievērojamas kavēšanās ar pieprasījuma apstrādi (vidēji 350 ms) un ir konfidencialitātes problēmas (serveri, kas atbild uz pieprasījumiem, OCSP saņem informāciju par konkrētiem sertifikātiem, kurus var izmantot, lai spriestu, kuras vietnes lietotājs atver).
arī pastāv iespēja veikt vietējo pārbaudi salīdzinājumā ar KRL (Sertifikātu atsaukšanas saraksts), bet šīs metodes trūkums ir lejupielādēto datu lielais lielums: Pašlaik sertifikātu atsaukšanas datubāze aizņem apmēram 300 MB, un tās pieaugums turpinās.
Firefox ir izmantojis centralizēto OneCRL melno sarakstu kopš 2015. gada bloķēt sertificēto iestāžu apdraudētus un atsauktus sertifikātus, kā arī piekļuvi Google drošas pārlūkošanas pakalpojumam, lai noteiktu iespējamu ļaunprātīgu darbību.
OneCRL, piemēram, CRLSets pārlūkā Chrome, darbojas kā starpsasaite, kas apkopo sertifikātu iestāžu KRL sarakstus un nodrošina vienu centralizētu OCSP pakalpojumu, lai pārbaudītu atsauktos sertifikātus, ļaujot pieprasījumus nesūtīt tieši sertifikātu iestādēm.
Pēc noklusējuma ja to nav iespējams pārbaudīt, izmantojot OCSP, pārlūks uzskata sertifikātu par derīgu. tā ja pakalpojums nav pieejams tīkla problēmu dēļ un iekšējā tīkla ierobežojumi vai arī to var bloķēt uzbrucēji MITM uzbrukuma laikā. Lai izvairītos no šādiem uzbrukumiem, tiek ieviesta must-staple tehnika, kas ļauj OCSP piekļuves kļūdu vai OCSP nepieejamību interpretēt kā sertifikāta problēmu, taču šī funkcija nav obligāta un prasa īpašu sertifikāta reģistrāciju.
Par CRLite
CRLite ļauj jums sniegt pilnīgu informāciju par visiem atsauktajiem sertifikātiem viegli atjaunojamā struktūrā tikai 1 MB, ļaujot saglabāt visu CRL datu bāzi klienta pusē. Pārlūkprogramma katru dienu varēs sinhronizēt atsaukto sertifikātu datu kopiju, un šī datu bāze būs pieejama jebkuros apstākļos.
CRLite apvieno informāciju no sertifikātu caurspīdīguma, visu izsniegto un atsaukto sertifikātu publiskais reģistrs un interneta sertifikātu skenēšanas rezultāti (tiek apkopoti dažādi sertifikācijas centru KRL saraksti un pievienota informācija par visiem zināmajiem sertifikātiem).
Dati tiek iepakoti, izmantojot Bloom filtrus, varbūtības struktūra, kas ļauj kļūdaini noteikt trūkstošo vienumu, bet izslēdz esoša vienuma izlaišanu (tas ir, ar zināmu varbūtību derīgam sertifikātam ir iespējami kļūdaini pozitīvi rezultāti, bet garantēti tiek atklāti atsauktie sertifikāti).
Lai novērstu viltus trauksmes, CRLite ieviesa papildu koriģējošos filtru līmeņus. Pēc struktūras izveidošanas tiek uzskaitīti visi avotu ieraksti un tiek atklāti viltus trauksmes signāli.
Pamatojoties uz šīs verifikācijas rezultātiem, tiek izveidota papildu struktūra, kas kaskādē pāri pirmajai un izlabo visus radušos viltus trauksmes signālus. Darbību atkārto, līdz verifikācijas laikā tiek pilnībā izslēgti viltus pozitīvi rezultāti.
Parastial, lai pilnībā aptvertu visus datus, pietiek ar 7-10 slāņu izveidošanu. Tā kā datubāzes stāvoklis periodiskas sinhronizācijas dēļ nedaudz atpaliek no pašreizējā KRL stāvokļa, jauno sertifikātu, kas izdoti pēc pēdējās CRLite datu bāzes atjaunināšanas, pārbaude tiek veikta, izmantojot protokola OCSP, tostarp izmantojot OCSP skavošanas tehniku. .
Mozilla CRLite ieviešana tiek izlaista ar bezmaksas MPL 2.0 licenci. Datu bāzes ģenerēšanas kods un servera komponenti tiek ierakstīti Python un Go. Firefox pievienotās klienta daļas, lai nolasītu datus no datu bāzes, tiek sagatavotas Rust valodā.
Fuente: https://blog.mozilla.org/