CRLite,Mozilla的TLS证书验证新机制

Firefox徽标

recientemente Mozilla宣布推出新的证书检测机制 撤销 在每晚版本的Firefox中都可以找到“ CRLite”。 这个新机制 允许组织验证 有效的证书吊销 针对用户系统上托管的数据库。

到目前为止使用的证书验证 与基于外部服务的使用 在OCSP协议中 (在线证书状态协议) 需要保证访问网络, 这会导致处理请求的明显延迟(平均350毫秒),并且存在机密性问题(响应请求的服务器OCSP获取有关特定证书的信息,这些信息可用于判断用户打开了哪些站点)。

有可能针对CRL进行本地验证 (证书吊销列表), 但是这种方法的缺点是下载的数据量大-当前,证书吊销数据库占用约300 MB,并且其增长仍在继续。

Firefox一直在使用集中式OneCRL黑名单 自2015年以来,它一直在阻止证书颁发机构入侵受感染和吊销的证书以及对Google安全浏览服务的访问,以确定可能的恶意活动。

像Chrome中的CRLSets一样, 充当汇总证书颁发机构CRL列表的中间链接 并提供单个集中式OCSP服务来验证已撤销的证书,从而可以不直接向证书颁发机构发送请求。

默认, 如果无法通过OCSP进行验证,则浏览器认为该证书有效。 从而 如果由于网络问题而无法使用该服务 和内部网络限制 或它可能在MITM攻击中被攻击者阻止。 为避免此类攻击, 必须实施钉书针技术 允许将OCSP访问错误或OCSP不可访问性解释为证书的问题,但是此功能是可选的,并且需要对证书进行特殊注册。

关于CRLite

CRLite允许您携带有关所有吊销证书的完整信息 以易于更新的结构 仅1 MB,因此可以存储整个CRL数据库 在客户端。 浏览器将能够每天同步其吊销证书中的数据副本,并且该数据库将在任何情况下都可用。

CRLite结合了来自证书透明度的信息, 所有已颁发和已撤销证书的公共记录以及Internet证书扫描的结果(收集了证书中心的各种CRL列表,并添加了有关所有已知证书的信息)。

使用Bloom过滤器打包数据,一种概率结构,允许错误确定丢失的项目,但排除了遗漏的现有项目(也就是说,有效证书有可能会出现误报,但可以确保检测到已撤销的证书)。

为了消除错误警报,CRLite引入了其他纠正性过滤级别。 构建结构后,将列出所有源记录,并检测到错误警报。

基于此验证的结果,创建了一个附加结构,该结构在第一个结构上层叠并更正出现的任何错误警报。 重复该操作,直到在验证期间完全排除误报为止。

通常Al,要完全覆盖所有数据,创建7到10层就足够了。 由于由于周期性同步而导致的数据库状态略微落后于CRL的当前状态,因此使用协议OCSP(包括使用OCSP装订技术)对CRLite数据库的最新更新之后发布的新证书进行验证。 。

Mozilla的CRLite实施是根据免费的MPL 2.0许可证发布的。 生成数据库和服务器组件的代码是用Python和Go编写的。 添加到Firefox以便从数据库读取数据的客户端部件均使用Rust语言编写。

数据来源: https://blog.mozilla.org/


成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。