Companyia Mozilla
Verificació de certificats mitjançant serveis externs basats en el protocol que encara s'utilitza
Per bloquejar els certificats que han estat compromesos i revocats per les autoritats de certificació, Firefox utilitza una llista negra centralitzada des del 2015
Per defecte, si és impossible verificar mitjançant OCSP, el navegador considera vàlid el certificat. És possible que el servei no estigui disponible a causa de problemes de xarxa i restriccions a les xarxes internes, o bloquejat per atacants; per evitar la comprovació OCSP durant un atac MITM, només cal bloquejar l'accés al servei de comprovació. Parcialment per prevenir aquests atacs, s'ha implementat una tècnica
CRLite us permet consolidar la informació completa sobre tots els certificats revocats en una estructura fàcilment actualitzada, de només 1 MB de mida, que permet emmagatzemar una base de dades CRL completa al costat del client.
El navegador podrà sincronitzar diàriament la seva còpia de les dades dels certificats revocats, i aquesta base de dades estarà disponible sota qualsevol condició.
CRLite combina informació de
Per eliminar els falsos positius, CRLite ha introduït nivells de filtre correctius addicionals. Després de generar l'estructura, es cerquen tots els registres d'origen i s'identifiquen els falsos positius. A partir dels resultats d'aquesta comprovació, es crea una estructura addicional, que es posa en cascada a la primera i corregeix els falsos positius resultants. L'operació es repeteix fins que s'eliminin completament els falsos positius durant el control de control. Normalment, la creació de 7-10 capes és suficient per cobrir completament totes les dades. Atès que l'estat de la base de dades, a causa de la sincronització periòdica, queda lleugerament per darrere de l'estat actual de la CRL, la comprovació dels nous certificats emesos després de l'última actualització de la base de dades CRLite es realitza mitjançant el protocol OCSP, inclòs l'ús del
Mitjançant els filtres Bloom, la porció d'informació de desembre de WebPKI, que cobria 100 milions de certificats actius i 750 mil certificats revocats, es va poder empaquetar en una estructura d'1.3 MB de mida. El procés de generació d'estructures requereix força recursos, però es realitza al servidor Mozilla i l'usuari rep una actualització ja feta. Per exemple, en forma binària, les dades d'origen utilitzades durant la generació requereixen uns 16 GB de memòria quan s'emmagatzemen al SGBD de Redis i, en forma hexadecimal, un abocament de tots els números de sèrie del certificat triga uns 6.7 GB. El procés d'agregació de tots els certificats revocats i actius triga uns 40 minuts i el procés de generació d'una estructura empaquetada basada en el filtre Bloom triga 20 minuts més.
Actualment, Mozilla assegura que la base de dades CRLite s'actualitza quatre vegades al dia (no totes les actualitzacions es lliuren als clients). La generació d'actualitzacions delta encara no s'ha implementat: l'ús de bsdiff4, utilitzat per crear actualitzacions delta per a versions, no proporciona una eficiència adequada per a CRLite i les actualitzacions són excessivament grans. Per eliminar aquest inconvenient, es preveu reelaborar el format de l'estructura d'emmagatzematge per eliminar la reconstrucció i la supressió innecessàries de capes.
Actualment, CRLite funciona al Firefox en mode passiu i s'utilitza en paral·lel amb OCSP per acumular estadístiques sobre el funcionament correcte. CRLite es pot canviar al mode d'exploració principal; per fer-ho, heu d'establir el paràmetre security.pki.crlite_mode = 2 a about:config.
Font: opennet.ru