Recientemente Mozilla oznámila spustenie nového mechanizmu detekcie certifikátov odvolanie „CRLite“ a nachádza sa v nočných verziách prehliadača Firefox. Tento nový mechanizmus umožňuje organizovať overenie účinné zrušenie certifikátu proti databáze hostenej v systéme používateľa.
Doteraz používané overenie certifikátu s využitím externých služieb založených V protokole OCSP (Online protokol o stave certifikátu) vyžaduje zaručený prístup do siete, čo vedie k znateľnému oneskoreniu pri spracovaní žiadosti (v priemere 350 ms) a má problémy s dôvernosťou (servery reagujúce na požiadavky OCSP získava informácie o konkrétnych certifikátoch, ktoré sa dajú použiť na posúdenie, ktoré stránky používateľ otvorí).
tiež existuje možnosť lokálneho overenia proti CRL (Zoznam zrušených certifikátov), ale nevýhodou tejto metódy je veľká veľkosť stiahnutých dát: V súčasnosti databáza zrušených certifikátov zaberá okolo 300 MB a jej rast pokračuje.
Firefox používa centralizovaný čierny zoznam OneCRL od roku 2015 blokovať napadnuté a odvolané certifikáty certifikačnými autoritami spolu s prístupom k službe bezpečného prehliadania Google s cieľom určiť možnú škodlivú činnosť.
OneCRL, ako napríklad CRLSets v Chrome, funguje ako medzičlánok, ktorý agreguje zoznamy CRL certifikačných autorít a poskytuje jednu centralizovanú službu OCSP na overenie odvolaných certifikátov, čo umožňuje neposielať žiadosti priamo certifikačným autoritám.
default, ak nie je možné overiť pomocou OCSP, prehliadač považuje certifikát za platný. Týmto spôsobom ak služba nie je k dispozícii z dôvodu problémov so sieťou a obmedzenia internej siete alebo že ho môžu útočníci zablokovať počas útoku MITM. Aby sa zabránilo takýmto útokom, je implementovaná technika Must-Staple, ktorá umožňuje interpretovať chybu prístupu OCSP alebo neprístupnosť OCSP ako problém s certifikátom, ale táto funkcia je voliteľná a vyžaduje špeciálnu registráciu certifikátu.
O spoločnosti CRLite
CRLite umožňuje priniesť úplné informácie o všetkých zrušených certifikátoch v ľahko obnoviteľnej štruktúre iba 1 MB, čo umožňuje uložiť celú databázu CRL na strane klienta. Prehliadač bude môcť dennodenne synchronizovať svoju kópiu údajov vo zrušených certifikátoch a táto databáza bude k dispozícii za akýchkoľvek podmienok.
CRLite kombinuje informácie z Transparentnosti certifikátu, verejný záznam všetkých vydaných a zrušených certifikátov a výsledky skenovania internetových certifikátov (zhromažďujú sa rôzne zoznamy CRL certifikačných centier a pridávajú sa informácie o všetkých známych certifikátoch).
Dáta sa zhromažďujú pomocou Bloomových filtrov, pravdepodobnostná štruktúra, ktorá umožňuje nepravdivé určenie chýbajúcej položky, ale vylučuje vynechanie existujúcej položky (to znamená, že s platnosťou certifikátu sú s pravdepodobnosťou možné falošné poplachy, ale zrušené certifikáty sa zaručene odhalia).
Na odstránenie falošných poplachov zaviedla spoločnosť CRLite ďalšie úrovne opravných filtrov. Po vytvorení štruktúry sa zobrazia všetky zdrojové záznamy a zistia sa falošné poplachy.
Na základe výsledkov tohto overenia sa vytvorí ďalšia štruktúra, ktorá kaskáduje cez prvé a opravuje všetky vzniknuté falošné poplachy. Operácia sa opakuje, kým sa počas overovania úplne nevylúčia falošné poplachy.
Spravidlaal, na úplné pokrytie všetkých údajov stačí vytvoriť 7-10 vrstiev. Pretože stav databázy z dôvodu periodickej synchronizácie mierne zaostáva za súčasným stavom CRL, overovanie nových certifikátov vydaných po poslednej aktualizácii databázy CRLite sa vykonáva pomocou protokolu OCSP vrátane použitia techniky zošívania OCSP.
Implementácia CRLite od Mozilly je vydávaná na základe bezplatnej licencie MPL 2.0. Kód na generovanie databázy a serverových komponentov je napísaný v jazykoch Python and Go. Klientske časti pridané do prehliadača Firefox na čítanie údajov z databázy sú pripravené v jazyku Rust.
Fuente: https://blog.mozilla.org/