Mozilla Company
Certifikatbekræftelse ved hjælp af eksterne tjenester baseret på den protokol, der stadig bruges
For at blokere certifikater, der er blevet kompromitteret og tilbagekaldt af certificeringsmyndigheder, har Firefox brugt en centraliseret sortliste siden 2015
Som standard, hvis det er umuligt at verificere via OCSP, betragter browseren certifikatet som gyldigt. Tjenesten kan være utilgængelig på grund af netværksproblemer og begrænsninger på interne netværk, eller blokeret af angribere - for at omgå OCSP-kontrollen under et MITM-angreb, skal du blot blokere adgangen til kontroltjenesten. Dels for at forhindre sådanne angreb, er en teknik blevet implementeret
CRLite giver dig mulighed for at konsolidere fuldstændig information om alle tilbagekaldte certifikater i en let opdateret struktur, kun 1 MB i størrelse, hvilket gør det muligt at gemme en komplet CRL-database på klientsiden.
Browseren vil dagligt kunne synkronisere sin kopi af data om tilbagekaldte certifikater, og denne database vil være tilgængelig under alle forhold.
CRLite kombinerer information fra
For at eliminere falske positiver har CRLite introduceret yderligere korrigerende filterniveauer. Efter generering af strukturen søges alle kildeposter, og eventuelle falske positiver identificeres. Baseret på resultaterne af denne kontrol oprettes en yderligere struktur, som kaskades over på den første og korrigerer de resulterende falske positiver. Operationen gentages, indtil falske positiver under kontrolkontrollen er fuldstændig elimineret. Oprettelse af 7-10 lag er typisk tilstrækkeligt til at dække alle data fuldstændigt. Da databasens tilstand, på grund af periodisk synkronisering, halter lidt efter den nuværende tilstand af CRL, udføres kontrol af nye certifikater udstedt efter den sidste opdatering af CRLite-databasen ved hjælp af OCSP-protokollen, herunder brug af
Ved hjælp af Bloom-filtre kunne december-udsnittet af information fra WebPKI, der dækkede 100 millioner aktive certifikater og 750 tusind tilbagekaldte certifikater, pakkes ind i en struktur på 1.3 MB i størrelse. Strukturgenereringsprocessen er ret ressourcekrævende, men den udføres på Mozilla-serveren, og brugeren får en færdig opdatering. For eksempel, i binær form, kræver de kildedata, der bruges under genereringen, omkring 16 GB hukommelse, når de er lagret i Redis DBMS, og i hexadecimal form tager et dump af alle certifikatserienumre omkring 6.7 GB. Processen med at samle alle tilbagekaldte og aktive certifikater tager omkring 40 minutter, og processen med at generere en pakket struktur baseret på Bloom-filteret tager yderligere 20 minutter.
Mozilla sikrer i øjeblikket, at CRLite-databasen opdateres fire gange om dagen (ikke alle opdateringer leveres til klienter). Generering af delta-opdateringer er endnu ikke implementeret - brugen af bsdiff4, der bruges til at skabe delta-opdateringer til udgivelser, giver ikke tilstrækkelig effektivitet for CRLite, og opdateringerne er urimeligt store. For at eliminere denne ulempe er det planlagt at omarbejde formatet af lagerstrukturen for at eliminere unødvendig genopbygning og sletning af lag.
CRLite fungerer i øjeblikket i Firefox i passiv tilstand og bruges parallelt med OCSP til at akkumulere statistik om den korrekte betjening. CRLite kan skiftes til hovedscanningstilstand; for at gøre dette skal du indstille parameteren security.pki.crlite_mode = 2 i about:config.
Kilde: opennet.ru