Onlangs Mozilla kondigde de lancering aan van een nieuw mechanisme voor certificaatdetectie herroeping genaamd "CRLite" en die te vinden is in de nachtelijke versies van Firefox. Dit nieuwe mechanisme laat toe om een verificatie te organiseren effectieve intrekking van certificaten tegen een database die wordt gehost op het systeem van een gebruiker.
De certificaatverificatie die tot nu toe is gebruikt met het gebruik van externe diensten gebaseerd In het OCSP-protocol (Online certificaatstatusprotocol) vereist gegarandeerde toegang tot het netwerk, Dit leidt tot een merkbare vertraging bij het verwerken van het verzoek (gemiddeld 350 ms) en heeft vertrouwelijkheidsproblemen (servers die reageren op verzoeken OCSP krijgt informatie over specifieke certificaten, die kunnen worden gebruikt om te beoordelen welke sites een gebruiker opent).
ook er is de mogelijkheid van lokale verificatie tegen CRL (Lijst met ingetrokken certificaten), maar het nadeel van deze methode is de grote omvang van de gedownloade gegevens- Momenteel beslaat de database voor het intrekken van certificaten ongeveer 300 MB en blijft groeien.
Firefox maakt gebruik van de gecentraliseerde OneCRL-zwarte lijst sinds 2015 om certificaten te blokkeren die zijn gecompromitteerd en ingetrokken door certificeringsinstanties, samen met toegang tot de veilige browsedienst van Google om mogelijke kwaadaardige activiteiten vast te stellen.
OneCRL, zoals CRLSets in Chrome, fungeert als een tussenliggende link die CRL-lijsten van certificaatautoriteiten verzamelt en biedt een enkele gecentraliseerde OCSP-service om ingetrokken certificaten te verifiëren, waardoor het niet mogelijk is om verzoeken rechtstreeks naar certificaatautoriteiten te sturen.
Standaard, als het niet mogelijk is om via OCSP te verifiëren, beschouwt de browser het certificaat als geldig. dus als de service niet beschikbaar is vanwege netwerkproblemen en interne netwerkbeperkingen of dat het kan worden geblokkeerd door aanvallers tijdens een MITM-aanval. Om dergelijke aanvallen te vermijden, de Must-Staple-techniek is geïmplementeerd, waardoor de OCSP-toegangsfout of OCSP-ontoegankelijkheid kan worden geïnterpreteerd als een probleem met het certificaat, maar deze functie is optioneel en vereist speciale registratie van het certificaat.
Over CRLite
Met CRLite kunt u volledige informatie geven over alle ingetrokken certificaten in een gemakkelijk hernieuwbare structuur slechts 1 MB, waardoor het mogelijk is om de volledige CRL-database op te slaan aan de kant van de klant. De browser kan dagelijks zijn kopie van de gegevens in de ingetrokken certificaten synchroniseren en deze database is onder alle omstandigheden beschikbaar.
CRLite combineert informatie van Certificaattransparantie, het openbare register van alle uitgegeven en ingetrokken certificaten en de resultaten van het scannen van internetcertificaten (verschillende CRL-lijsten van certificeringscentra worden verzameld en informatie over alle bekende certificaten wordt toegevoegd).
De gegevens worden verpakt met Bloom-filters, een probabilistische structuur die een valse bepaling van het ontbrekende item mogelijk maakt, maar het weglaten van een bestaand item uitsluit (dat wil zeggen, met enige waarschijnlijkheid zijn valse positieven mogelijk voor een geldig certificaat, maar ingetrokken certificaten worden gegarandeerd gedetecteerd).
Om valse alarmen te elimineren, heeft CRLite aanvullende correctieve filterniveaus geïntroduceerd. Nadat de structuur is gebouwd, worden alle bronrecords vermeld en worden valse alarmen gedetecteerd.
Op basis van de resultaten van deze verificatie wordt een extra structuur gecreëerd die over de eerste cascades loopt en eventuele valse alarmen corrigeert. De bewerking wordt herhaald totdat valse positieven tijdens verificatie volledig zijn uitgesloten.
Meestalal, om alle gegevens volledig te dekken, is het maken van 7-10 lagen voldoende. Aangezien de toestand van de database als gevolg van periodieke synchronisatie iets achterloopt op de huidige staat van de CRL, wordt de verificatie van nieuwe certificaten die zijn uitgegeven na de laatste update van de CRLite-database uitgevoerd met behulp van het protocol OCSP, inclusief het gebruik van de OCSP-niettechniek .
Mozilla's CRLite-implementatie wordt vrijgegeven onder de gratis MPL 2.0-licentie. De code voor het genereren van de database en de servercomponenten zijn geschreven in Python en Go. De clientonderdelen die aan Firefox zijn toegevoegd om gegevens uit de database te lezen, zijn voorbereid in de Rust-taal.
bron: https://blog.mozilla.org/