Recientemente Mozilla, yeni bir sertifika algılama mekanizmasının lansmanını duyurdu iptal "CRLite" olarak adlandırılan ve Firefox'un gece sürümlerinde bulunan. Bu yeni mekanizma bir doğrulama düzenlemeye izin verir etkili sertifika iptali bir kullanıcının sisteminde barındırılan bir veritabanına karşı.
Şimdiye kadar kullanılan sertifika doğrulaması dayalı harici hizmetlerin kullanımı ile OCSP protokolünde (Çevrimiçi Sertifika Durum Protokolü) ağa garantili erişim gerektirir, bu, talebin işlenmesinde gözle görülür bir gecikmeye yol açar (ortalama 350 ms) ve gizlilik sorunları vardır (OCSP'nin taleplere yanıt veren sunucular, bir kullanıcının hangi siteleri açtığına karar vermek için kullanılabilen belirli sertifikalar hakkında bilgi alır).
ayrıca CRL'ye karşı yerel doğrulama olasılığı var (Sertifika iptal listesi), ancak bu yöntemin dezavantajı, indirilen verilerin büyük boyutudur: Şu anda sertifika iptal veritabanı yaklaşık 300 MB yer kaplıyor ve büyümesi devam ediyor.
Firefox, merkezi OneCRL kara listesini kullanıyor 2015'ten bu yana, sertifika yetkilileri tarafından güvenliği ihlal edilen ve iptal edilen sertifikaları engellemenin yanı sıra olası kötü amaçlı etkinlikleri belirlemek için Google'ın güvenli tarama hizmetine erişim.
OneCRL, Chrome'daki CRLSets gibi, sertifika yetkililerinin CRL listelerini toplayan bir ara bağlantı görevi görür ve iptal edilen sertifikaları doğrulamak için tek bir merkezi OCSP hizmeti sağlayarak isteklerin doğrudan sertifika yetkililerine gönderilmemesini mümkün kılar.
Varsayılan, OCSP aracılığıyla doğrulama mümkün değilse, tarayıcı sertifikayı geçerli kabul eder. böylece ağ sorunları nedeniyle hizmet mevcut değilse ve dahili ağ kısıtlamaları veya bir MITM saldırısı sırasında saldırganlar tarafından engellenebileceğini. Bu tür saldırılardan kaçınmak için, Zorunlu Staple tekniği uygulanıyor, bu, OCSP erişim hatası veya OCSP erişilemezliğinin sertifika ile ilgili bir sorun olarak yorumlanmasına izin verir, ancak bu özellik isteğe bağlıdır ve sertifikanın özel kaydını gerektirir.
CRLite hakkında
CRLite, iptal edilen tüm sertifikalar hakkında eksiksiz bilgi getirmenize olanak tanır kolayca yenilenebilir bir yapıda yalnızca 1 MB, tüm CRL veritabanını depolamayı mümkün kılar müşteri tarafında. Tarayıcı, iptal edilen sertifikalardaki veri kopyasını günlük olarak senkronize edebilecek ve bu veritabanı her koşulda kullanılabilir olacaktır.
CRLite, Sertifika Şeffaflığından gelen bilgileri birleştirir, verilen ve iptal edilen tüm sertifikaların genel kaydı ve İnternet sertifikası taramanın sonuçları (sertifika merkezlerinin çeşitli CRL listeleri toplanır ve bilinen tüm sertifikalarla ilgili bilgiler eklenir).
Veriler Bloom filtreleri kullanılarak paketlenir, eksik öğenin yanlış belirlenmesine izin veren, ancak mevcut bir öğenin atlanmasını hariç tutan olasılıklı bir yapı (yani, bazı olasılıkla, geçerli bir sertifika için yanlış pozitifler mümkündür, ancak iptal edilen sertifikaların tespit edilmesi garanti edilir).
Yanlış alarmları ortadan kaldırmak için, CRLite ek düzeltici filtre seviyeleri getirdi. Yapı oluşturulduktan sonra tüm kaynak kayıtları listelenir ve yanlış alarmlar tespit edilir.
Bu doğrulamanın sonuçlarına dayanarak, ilkinin üzerine kademeli olarak gelen ve ortaya çıkan yanlış alarmları düzelten ek bir yapı oluşturulur. Doğrulama sırasında yanlış pozitifler tamamen hariç tutulana kadar işlem tekrarlanır.
Geneldeal, tüm verileri tam olarak kaplamak için 7-10 katman oluşturmak yeterlidir. Veritabanının periyodik senkronizasyondan kaynaklanan durumu CRL'nin mevcut durumunun biraz gerisinde olduğundan, CRLite veritabanının son güncellemesinden sonra verilen yeni sertifikaların doğrulanması protokol kullanılarak gerçekleştirilir. OCSP zımbalama tekniğinin kullanımı dahil OCSP.
Mozilla'nın CRLite uygulaması, ücretsiz MPL 2.0 lisansı altında yayınlandı. Veritabanını ve sunucu bileşenlerini oluşturacak kod Python ve Go'da yazılmıştır. Veritabanından veri okumak için Firefox'a eklenen istemci bölümleri Rust dilinde hazırlanır.
kaynak: https://blog.mozilla.org/