recent Mozilla a anunțat lansarea unui nou mecanism de detectare a certificatelor revocare numit „CRLite” și care se găsește în versiunile de noapte ale Firefox. Acest nou mecanism permite organizarea unei verificări revocarea efectivă a certificatului împotriva unei baze de date găzduite pe sistemul unui utilizator.
Verificarea certificatului utilizată până acum cu utilizarea serviciilor externe bazate pe În protocolul OCSP (Protocolul de stare a certificatului online) necesită acces garantat la rețea, ceea ce duce la o întârziere vizibilă în procesarea cererii (în medie 350 ms) și are probleme de confidențialitate (serverele care răspund solicitărilor OCSP primește informații despre certificate specifice, care pot fi utilizate pentru a judeca ce site-uri deschide un utilizator).
de asemenea există posibilitatea verificării locale împotriva CRL (Lista revocării certificatului), dar dezavantajul acestei metode este dimensiunea mare a datelor descărcate: În prezent, baza de date de revocare a certificatului ocupă aproximativ 300 MB și creșterea sa continuă.
Firefox a folosit lista neagră centralizată OneCRL din 2015 pentru a bloca certificatele compromise și revocate de autoritățile de certificare, împreună cu accesul la serviciul de navigare sigur Google, pentru a determina posibile activități dăunătoare.
OneCRL, cum ar fi CRLSets în Chrome, acționează ca o legătură intermediară care agregă listele CRL ale autorităților de certificare și oferă un singur serviciu OCSP centralizat pentru a verifica certificatele revocate, făcând posibilă trimiterea cererilor direct autorităților de certificare.
Mod implicit, dacă nu este posibil să se verifice prin OCSP, browserul consideră că certificatul este valid. în acest fel dacă serviciul nu este disponibil din cauza unor probleme de rețea și restricții de rețea internă sau că poate fi blocat de atacatori în timpul unui atac MITM. Pentru a evita astfel de atacuri, este implementată tehnica Must-Staple, ceea ce permite ca eroarea de acces OCSP sau inaccesibilitatea OCSP să fie interpretate ca o problemă cu certificatul, dar această caracteristică este opțională și necesită înregistrarea specială a certificatului.
Despre CRLite
CRLite vă permite să aduceți informații complete despre toate certificatele revocate într-o structură ușor regenerabilă doar 1 MB, făcând posibilă stocarea întregii baze de date CRL din partea clientului. Browserul va putea sincroniza zilnic copia sa a datelor din certificatele revocate și această bază de date va fi disponibilă în orice condiții.
CRLite combină informații din Certificate Transparency, evidența publică a tuturor certificatelor emise și revocate și rezultatele scanării certificatelor pe Internet (sunt colectate diferite liste CRL ale centrelor de certificare și se adaugă informații despre toate certificatele cunoscute).
Datele sunt ambalate folosind filtre Bloom, o structură probabilistică care permite o determinare falsă a elementului lipsă, dar exclude omiterea unui element existent (adică, cu o anumită probabilitate, sunt posibile falsuri pozitive pentru un certificat valid, dar certificatele revocate sunt garantate pentru a fi detectate).
Pentru a elimina alarmele false, CRLite a introdus niveluri de filtrare corective suplimentare. După ce structura este construită, sunt înregistrate toate înregistrările sursă și sunt detectate alarme false.
Pe baza rezultatelor acestei verificări, se creează o structură suplimentară care se încadrează peste prima și corectează eventualele alarme false care au apărut. Operația se repetă până când falsurile pozitive sunt complet excluse în timpul verificării.
Obișnuital, pentru a acoperi complet toate datele, este suficient să creați 7-10 straturi. Deoarece starea bazei de date datorită sincronizării periodice este ușor în spatele stării actuale a CRL, verificarea noilor certificate emise după ultima actualizare a bazei de date CRLite se efectuează utilizând protocolul OCSP, inclusiv utilizarea tehnicii de capsare OCSP .
Implementarea Mozilla de CRLite este lansată sub licența gratuită MPL 2.0. Codul pentru a genera baza de date și componentele serverului sunt scrise în Python și Go. Părțile client adăugate la Firefox pentru a citi datele din baza de date sunt pregătite în limba Rust.
Fuente: https://blog.mozilla.org/