CRLite, новый механизм Mozilla для проверки сертификата TLS

Логотип Firefox

Недавно Mozilla объявила о запуске нового механизма обнаружения сертификатов отзыв называется «CRLite» и встречается в ночных версиях Firefox. Этот новый механизм позволяет организовать проверку действующий отзыв сертификата против базы данных, размещенной в системе пользователя.

Используемая проверка сертификата с использованием внешних сервисов на базе В протоколе OCSP (Протокол статуса онлайн-сертификата) требует гарантированного доступа к сети, что приводит к заметной задержке обработки запроса (в среднем 350 мс) и имеет проблемы с конфиденциальностью (серверы, отвечая на запросы, OCSP получает информацию о конкретных сертификатах, по которой можно судить, какие сайты открывает пользователь).

также есть возможность локальной проверки по CRL (Список отозванных сертификатов), но недостатком этого метода является большой размер загружаемых данных: В настоящее время база данных отзыва сертификатов занимает около 300 МБ и продолжает расти.

Firefox использует централизованный черный список OneCRL с 2015 года для блокировки сертификатов, которые были скомпрометированы и отозваны центрами сертификации, а также доступа к службе безопасного просмотра Google для определения возможной вредоносной активности.

OneCRL, как и наборы CRL в Chrome, действует как промежуточное звено, которое объединяет списки CRL центров сертификации и предоставляет единую централизованную службу OCSP для проверки отозванных сертификатов, что позволяет не отправлять запросы напрямую в центры сертификации.

По умолчанию, если невозможно проверить через OCSP, браузер считает сертификат действительным. Таким образом если услуга недоступна из-за проблем с сетью и внутренние сетевые ограничения или что он может быть заблокирован злоумышленниками во время атаки MITM. Чтобы избежать таких атак, реализована техника Must-Staple, что позволяет интерпретировать ошибку доступа OCSP или недоступность OCSP как проблему с сертификатом, но эта функция не является обязательной и требует специальной регистрации сертификата.

О CRLite

CRLite позволяет вывести полную информацию обо всех отозванных сертификатах в легко возобновляемой структуре всего 1 МБ, что позволяет хранить всю базу данных CRL на стороне клиента. Браузер сможет ежедневно синхронизировать свою копию данных в отозванных сертификатах, и эта база данных будет доступна при любых условиях.

CRLite объединяет информацию из прозрачности сертификата, общедоступная запись всех выданных и отозванных сертификатов и результатов сканирования сертификатов в Интернете (собираются различные списки CRL центров сертификации и добавляется информация обо всех известных сертификатах).

Данные упаковываются с использованием фильтров Блума, вероятностная структура, которая допускает ложное определение отсутствующего элемента, но исключает пропуск существующего элемента (то есть с некоторой вероятностью возможны ложные срабатывания для действительного сертификата, но гарантированно обнаружение отозванных сертификатов).

Чтобы исключить ложные срабатывания, CRLite ввела дополнительные корректирующие уровни фильтров. После постройки конструкции перечисляются все исходные записи и выявляются ложные срабатывания.

По результатам этой проверки создается дополнительная структура, которая каскадно накладывается на первую и исправляет любые возникшие ложные срабатывания. Операция повторяется до полного исключения ложных срабатываний при проверке.

Как правилоДля полного покрытия всех данных достаточно создания 7-10 слоев. Поскольку состояние базы данных из-за периодической синхронизации немного отстает от текущего состояния CRL, проверка новых сертификатов, выпущенных после последнего обновления базы данных CRLite, осуществляется с использованием протокола OCSP, включая использование техники сшивания OCSP. .

Реализация CRLite в Mozilla выпущена под бесплатной лицензией MPL 2.0. Код для создания базы данных и серверные компоненты написаны на Python и Go. Клиентские части, добавленные в Firefox для чтения данных из базы данных, подготовлены на языке Rust.

источник: https://blog.mozilla.org/


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.