Недавно Мозилла је најавила покретање новог механизма за откривање сертификата опозив под називом „ЦРЛите“ и који се налази у ноћним верзијама Фирефока. Овај нови механизам омогућава организовање верификације ступање на снагу опозива сертификата против базе података хостоване на корисничком систему.
До сада коришћена верификација сертификата уз коришћење екстерних услуга заснованих на У ОЦСП протоколу (Мрежни протокол о статусу сертификата) захтева загарантован приступ мрежи, што доводи до приметног кашњења у обради захтева (у просеку 350 мс) и има проблема са поверљивошћу (сервери који одговарају на захтеве ОЦСП добија информације о одређеним сертификатима, који се могу користити за процену веб локација које корисник отвара).
такође постоји могућност локалне верификације против ЦРЛ (Листа опозива сертификата), али недостатак ове методе је велика величина преузетих података: Тренутно база података о опозиву цертификата заузима око 300 МБ и њен раст се наставља.
Фирефок користи централизовану црну листу ОнеЦРЛ од 2015. године да блокирају компромитоване и опозване сертификате од стране сертификационих тела заједно са приступом Гоогле-овој услузи сигурног прегледања ради утврђивања могућих злонамерних активности.
ОнеЦРЛ, попут ЦРЛСетс у Цхроме-у, делује као посредна веза која обједињује ЦРЛ листе сертификата и пружа јединствену централизовану ОЦСП услугу за верификацију опозваних сертификата, омогућавајући не слање захтева директно органима за издавање сертификата.
Уобичајено, ако није могуће верификовати путем ОЦСП-а, прегледач сматра да је сертификат валидан. На овај начин ако услуга није доступна због мрежних проблема и интерна ограничења мреже или да га нападачи могу блокирати током МИТМ напада. Да бисте избегли такве нападе, примењена је Муст-Стапле техника, што омогућава ОЦСП грешку приступа или ОЦСП неприступачност да се тумаче као проблем са сертификатом, али ова функција није обавезна и захтева посебну регистрацију сертификата.
О ЦРЛите
ЦРЛите вам омогућава да доставите потпуне информације о свим опозваним сертификатима у лако обновљивој структури само 1 МБ, што омогућава складиштење целокупне базе података ЦРЛ на страни клијента. Прегледник ће моћи свакодневно да синхронизује своју копију података у опозваним сертификатима и ова база података ће бити доступна под било којим условима.
ЦРЛите комбинује информације из транспарентности сертификата, јавна евиденција свих издатих и опозваних сертификата и резултата скенирања Интернет сертификата (прикупљају се разне ЦРЛ листе сертификационих центара и додају информације о свим познатим сертификатима).
Подаци се пакују помоћу Блоом филтера, пробабилистичка структура која омогућава погрешно утврђивање ставке која недостаје, али искључује пропуштање постојеће ставке (то јест, са извесном вероватноћом, могући су лажни позитивни учинци за важећу потврду, али се гарантирано откривају опозвани сертификати).
Да би елиминисао лажне аларме, ЦРЛите је увео додатне корективне нивое филтера. Након изградње структуре, сви изворни записи су наведени и откривени лажни аларми.
На основу резултата ове верификације креира се додатна структура која се каскадира преко прве и исправља све лажне аларме који су се појавили. Операција се понавља све док се током верификације потпуно не искључе лажни позитивни резултати.
Обичноал, за потпуно покривање свих података довољно је стварање 7-10 слојева. Будући да је стање базе података због периодичне синхронизације мало иза тренутног стања ЦРЛ-а, верификација нових сертификата издатих након последњег ажурирања базе података ЦРЛите врши се помоћу протокола ОЦСП, укључујући употребу технике спајања ОЦСП.
Мозилла-ина примена ЦРЛите објављена је под бесплатном лиценцом МПЛ 2.0. Код за генерисање базе података и компоненти сервера написан је у Питхон и Го. Клијентски делови додати у Фирефок за читање података из базе података припремљени су на језику Руст.
izvor: https://blog.mozilla.org/