Nylig Mozilla kunngjorde lanseringen av en ny sertifikatdeteksjonsmekanisme tilbakekalling kalt "CRLite" og som finnes i de nattlige versjonene av Firefox. Denne nye mekanismen tillater å organisere en bekreftelse effektiv sertifikat tilbakekalling mot en database som er vert på en brukers system.
Sertifikatbekreftelsen som er brukt så langt med bruk av eksterne tjenester basert I OCSP-protokollen (Online Certificate Status Protocol) krever garantert tilgang til nettverket, noe som fører til en merkbar forsinkelse i behandlingen av forespørselen (i gjennomsnitt 350 ms) og har konfidensialitetsproblemer (servere som svarer på forespørsler OCSP får informasjon om spesifikke sertifikater, som kan brukes til å bedømme hvilke nettsteder en bruker åpner).
Også det er mulighet for lokal bekreftelse mot CRL (Sertifikat tilbakekallingsliste), men ulempen med denne metoden er den store størrelsen på nedlastede data: For øyeblikket har databasen for tilbakekalling av sertifikater omtrent 300 MB og veksten fortsetter.
Firefox har brukt den sentraliserte svartelisten for OneCRL siden 2015 for å blokkere sertifikater som er blitt kompromittert og tilbakekalt av sertifiseringsmyndigheter sammen med tilgang til Googles sikre nettlesertjeneste for å avgjøre mulig skadelig aktivitet.
OneCRL, som CRLSets i Chrome, fungerer som en mellomledd som samler CRL-lister over sertifikatmyndigheter og gir en enkelt sentralisert OCSP-tjeneste for å verifisere tilbakekalte sertifikater, noe som gjør det mulig å ikke sende forespørsler direkte til sertifikatmyndigheter.
Misligholde, hvis det ikke er mulig å verifisere gjennom OCSP, anser nettleseren sertifikatet som gyldig. Dermed hvis tjenesten ikke er tilgjengelig på grunn av nettverksproblemer og interne nettverksbegrensninger eller at den kan blokkeres av angripere under et MITM-angrep. For å unngå slike angrep, Must-Staple-teknikken er implementert, som gjør det mulig å tolke OCSP-tilgangsfeil eller OCSP-utilgjengelighet som et problem med sertifikatet, men denne funksjonen er valgfri og krever spesiell registrering av sertifikatet.
Om CRLite
CRLite lar deg ta med fullstendig informasjon om alle tilbakekalte sertifikater i en lett fornybar struktur bare 1 MB, noe som gjør det mulig å lagre hele CRL-databasen på klientsiden. Nettleseren vil daglig kunne synkronisere kopien av dataene i de tilbakekalte sertifikatene, og denne databasen vil være tilgjengelig under alle forhold.
CRLite kombinerer informasjon fra Certificate Transparency, den offentlige oversikten over alle utstedte og tilbakekalte sertifikater og resultatene av skanning av Internett-sertifikat (forskjellige CRL-lister over sertifiseringssentre blir samlet inn og informasjon om alle kjente sertifikater er lagt til).
Data pakkes ved hjelp av Bloom-filtre, en sannsynlig struktur som tillater en falsk bestemmelse av det manglende elementet, men ekskluderer utelatelse av et eksisterende element (det vil si at det er sannsynlig at falske positive er mulige for et gyldig sertifikat, men tilbakekalte sertifikater blir garantert oppdaget).
For å eliminere falske alarmer introduserte CRLite flere korrigerende filternivåer. Etter at strukturen er bygget, blir alle kildeposter oppført og falske alarmer oppdages.
Basert på resultatene av denne verifiseringen opprettes en ekstra struktur som faller over den første og korrigerer falske alarmer som har oppstått. Operasjonen gjentas til falske positive er fullstendig ekskludert under verifisering.
Som oftestal, for å dekke alle dataene fullt ut, er det nok å lage 7-10 lag. Siden tilstanden til databasen på grunn av periodisk synkronisering ligger litt bak CRLs nåværende tilstand, utføres verifiseringen av nye sertifikater utstedt etter den siste oppdateringen av CRLite-databasen ved bruk av protokollen OCSP, inkludert bruk av OCSP-stiftingsteknikk .
Mozillas CRLite-implementering er utgitt under gratis MPL 2.0-lisens. Koden for å generere databasen og serverkomponentene er skrevet i Python og Go. Klientdelene som er lagt til Firefox for å lese data fra databasen er utarbeidet på Rust-språket.
Fuente: https://blog.mozilla.org/