Nyligen Mozilla meddelade lanseringen av en ny mekanism för att upptäcka certifikat återkallande kallas "CRLite" och som finns i nattversionerna av Firefox. Denna nya mekanism gör det möjligt att organisera en verifiering effektivt återkallande av certifikat mot en databas som är värd på en användares system.
Certifikatverifiering som hittills har använts med användning av externa tjänster baserade I OCSP-protokollet (Online Certificate Status Protocol) kräver garanterad åtkomst till nätverket, vilket leder till en märkbar fördröjning av behandlingen av begäran (i genomsnitt 350 ms) och har sekretessproblem (servrar som svarar på förfrågningar OCSP får information om specifika certifikat, som kan användas för att bedöma vilka webbplatser en användare öppnar).
också det finns möjlighet till lokal verifiering mot CRL (Certifikatåterkallningslista), men nackdelen med denna metod är den stora storleken på nedladdad data: För närvarande upptar certifikatåterkallningsdatabasen cirka 300 MB och dess tillväxt fortsätter.
Firefox har använt den centraliserade svartlistan för OneCRL sedan 2015 för att blockera intrång och återkallade certifikat av certifieringsmyndigheter tillsammans med tillgång till Googles säkra webbtjänst för att avgöra eventuell skadlig aktivitet.
OneCRL, som CRLSets i Chrome, fungerar som en mellanlänk som sammanställer CRL-listor över certifikatmyndigheter och tillhandahåller en enda centraliserad OCSP-tjänst för att verifiera återkallade certifikat, vilket gör det möjligt att inte skicka förfrågningar direkt till certifikatmyndigheter.
Standard, om det inte är möjligt att verifiera via OCSP anser webbläsaren att certifikatet är giltigt. Således om tjänsten inte är tillgänglig på grund av nätverksproblem och interna nätverksbegränsningar eller att det kan blockeras av angripare under en MITM-attack. För att undvika sådana attacker, Must-Staple-tekniken implementeras, vilket gör att OCSP-åtkomstfel eller OCSP-otillgänglighet kan tolkas som ett problem med certifikatet, men den här funktionen är valfri och kräver särskild registrering av certifikatet.
Om CRLite
Med CRLite kan du ta med fullständig information om alla återkallade certifikat i en lätt förnybar struktur bara 1 MB, vilket gör det möjligt att lagra hela CRL-databasen på klientsidan. Webbläsaren kommer att kunna synkronisera sin kopia av data i de återkallade certifikaten dagligen och denna databas kommer att finnas tillgänglig under alla förhållanden.
CRLite kombinerar information från Certificate Transparency, det offentliga register över alla utfärdade och återkallade certifikat och resultaten av skanning av internetcertifikat (olika CRL-listor över certifieringscentra samlas in och information om alla kända certifikat läggs till).
Data packas med hjälp av Bloom-filter, en probabilistisk struktur som möjliggör en falsk bestämning av det saknade objektet, men utesluter utelämnande av ett befintligt objekt (det vill säga, med viss sannolikhet är falska positiva möjliga för ett giltigt certifikat, men återkallade certifikat kan garanteras upptäckas).
För att eliminera falska larm införde CRLite ytterligare korrigerande filternivåer. Efter att strukturen har byggts listas alla källposter och falska larm upptäcks.
Baserat på resultaten av denna verifiering skapas en ytterligare struktur som kaskader över den första och korrigerar eventuella falska larm som har uppstått. Åtgärden upprepas tills falska positiva utesluts helt under verifiering.
Vanligtvisal, för att helt täcka all data räcker det med att skapa 7-10 lager. Eftersom databasens tillstånd på grund av periodisk synkronisering ligger något bakom CRL: s nuvarande tillstånd utförs verifieringen av nya certifikat som utfärdats efter den senaste uppdateringen av CRLite-databasen med hjälp av protokollet. OCSP, inklusive användning av häftningstekniken OCSP.
Mozillas implementering av CRLite släpps under gratis MPL 2.0-licens. Koden för att generera databasen och serverkomponenterna skrivs i Python och Go. Klientdelarna som läggs till Firefox för att läsa data från databasen är förberedda på Rust-språket.
Fuente: https://blog.mozilla.org/