Recientemente Mozilla thông báo ra mắt cơ chế phát hiện chứng chỉ mới thu hồi được gọi là "CRLite" và được tìm thấy trong các phiên bản hàng đêm của Firefox. Cơ chế mới này cho phép tổ chức một cuộc xác minh thu hồi chứng chỉ có hiệu lực chống lại cơ sở dữ liệu được lưu trữ trên hệ thống của người dùng.
Xác minh chứng chỉ được sử dụng cho đến nay với việc sử dụng các dịch vụ bên ngoài dựa trên Trong giao thức OCSP (Giao thức Trạng thái Chứng chỉ Trực tuyến) yêu cầu quyền truy cập được đảm bảo vào mạng, dẫn đến sự chậm trễ đáng chú ý trong việc xử lý yêu cầu (trung bình 350 mili giây) và có vấn đề về bảo mật (máy chủ phản hồi yêu cầu OCSP lấy thông tin về các chứng chỉ cụ thể, có thể được sử dụng để đánh giá trang web nào người dùng mở).
cũng có khả năng xác minh cục bộ chống lại CRL (Danh sách thu hồi chứng chỉ), nhưng nhược điểm của phương pháp này là kích thước lớn của dữ liệu tải xuống- Hiện tại cơ sở dữ liệu thu hồi chứng chỉ chiếm khoảng 300 MB và sự phát triển của nó vẫn tiếp tục.
Firefox đã sử dụng danh sách đen OneCRL tập trung kể từ năm 2015 để chặn các chứng chỉ bị xâm phạm và bị thu hồi bởi cơ quan cấp chứng chỉ cùng với quyền truy cập vào dịch vụ duyệt web an toàn của Google để xác định hoạt động độc hại có thể xảy ra.
OneCRL, như CRLSets trong Chrome, hoạt động như một liên kết trung gian tổng hợp danh sách CRL của các tổ chức phát hành chứng chỉ và cung cấp một dịch vụ OCSP tập trung duy nhất để xác minh các chứng chỉ đã bị thu hồi, giúp bạn không thể gửi yêu cầu trực tiếp đến cơ quan cấp chứng chỉ.
Mặc định, nếu không thể xác minh thông qua OCSP, trình duyệt coi chứng chỉ là hợp lệ. Theo cách này nếu dịch vụ không khả dụng do sự cố mạng và các hạn chế mạng nội bộ hoặc nó có thể bị chặn bởi những kẻ tấn công trong một cuộc tấn công MITM. Để tránh những cuộc tấn công như vậy, kỹ thuật Must-Staple được triển khai, cho phép lỗi truy cập OCSP hoặc không thể truy cập OCSP được hiểu là sự cố với chứng chỉ, nhưng tính năng này là tùy chọn và yêu cầu đăng ký chứng chỉ đặc biệt.
Về CRLite
CRLite cho phép bạn cung cấp thông tin đầy đủ về tất cả các chứng chỉ đã bị thu hồi trong một cấu trúc dễ dàng tái tạo chỉ 1 MB, có thể lưu trữ toàn bộ cơ sở dữ liệu CRL về phía khách hàng. Trình duyệt sẽ có thể hàng ngày đồng bộ hóa bản sao dữ liệu của nó trong các chứng chỉ đã thu hồi và cơ sở dữ liệu này sẽ khả dụng trong bất kỳ điều kiện nào.
CRLite kết hợp thông tin từ Tính minh bạch của chứng chỉ, hồ sơ công khai của tất cả các chứng chỉ đã cấp và bị thu hồi và kết quả quét chứng chỉ Internet (danh sách CRL khác nhau của các trung tâm chứng nhận được thu thập và thông tin về tất cả các chứng chỉ đã biết được thêm vào).
Dữ liệu được đóng gói bằng bộ lọc Bloom, một cấu trúc xác suất cho phép xác định sai mặt hàng bị thiếu, nhưng loại trừ việc bỏ sót mặt hàng hiện có (nghĩa là, với một số xác suất, có thể có kết quả dương tính giả đối với một chứng chỉ hợp lệ, nhưng các chứng chỉ đã thu hồi được đảm bảo sẽ được phát hiện).
Để loại bỏ các cảnh báo sai, CRLite đã giới thiệu các cấp bộ lọc khắc phục bổ sung. Sau khi cấu trúc được xây dựng, tất cả các bản ghi nguồn được liệt kê và các cảnh báo sai được phát hiện.
Dựa trên kết quả của việc xác minh này, một cấu trúc bổ sung được tạo ra xếp chồng lên cấu trúc đầu tiên và sửa mọi báo động sai đã phát sinh. Thao tác này được lặp lại cho đến khi loại trừ hoàn toàn các trường hợp dương tính giả trong quá trình xác minh.
Thông thườngal, để bao phủ đầy đủ tất cả dữ liệu, tạo 7-10 lớp là đủ. Vì trạng thái của cơ sở dữ liệu do đồng bộ hóa định kỳ hơi chậm so với trạng thái hiện tại của CRL, nên việc xác minh các chứng chỉ mới được cấp sau lần cập nhật cuối cùng của cơ sở dữ liệu CRLite được thực hiện bằng giao thức OCSP, bao gồm cả việc sử dụng kỹ thuật ghim OCSP .
Việc triển khai CRLite của Mozilla được phát hành theo giấy phép MPL 2.0 miễn phí. Mã để tạo cơ sở dữ liệu và các thành phần máy chủ được viết bằng Python và Go. Các phần máy khách được thêm vào Firefox để đọc dữ liệu từ cơ sở dữ liệu được chuẩn bị bằng ngôn ngữ Rust.
Fuente: https://blog.mozilla.org/