Εταιρεία Mozilla
Επαλήθευση πιστοποιητικού με χρήση εξωτερικών υπηρεσιών με βάση το πρωτόκολλο που εξακολουθεί να χρησιμοποιείται
Για τον αποκλεισμό πιστοποιητικών που έχουν παραβιαστεί και ανακληθεί από τις αρχές πιστοποίησης, ο Firefox χρησιμοποιεί μια κεντρική μαύρη λίστα από το 2015
Από προεπιλογή, εάν είναι αδύνατη η επαλήθευση μέσω OCSP, το πρόγραμμα περιήγησης θεωρεί το πιστοποιητικό έγκυρο. Η υπηρεσία ενδέχεται να μην είναι διαθέσιμη λόγω προβλημάτων δικτύου και περιορισμών στα εσωτερικά δίκτυα ή να αποκλειστεί από εισβολείς - για να παρακάμψετε τον έλεγχο OCSP κατά τη διάρκεια μιας επίθεσης MITM, απλώς αποκλείστε την πρόσβαση στην υπηρεσία ελέγχου. Εν μέρει για την πρόληψη τέτοιων επιθέσεων, έχει εφαρμοστεί μια τεχνική
Το CRLite σάς επιτρέπει να συγκεντρώνετε πλήρεις πληροφορίες σχετικά με όλα τα πιστοποιητικά που έχουν ανακληθεί σε μια δομή που ενημερώνεται εύκολα, μεγέθους μόνο 1 MB, η οποία καθιστά δυνατή την αποθήκευση μιας πλήρους βάσης δεδομένων CRL στην πλευρά του πελάτη.
Το πρόγραμμα περιήγησης θα μπορεί να συγχρονίζει καθημερινά το αντίγραφό του των δεδομένων σχετικά με τα ανακληθέντα πιστοποιητικά και αυτή η βάση δεδομένων θα είναι διαθέσιμη υπό οποιεσδήποτε συνθήκες.
Το CRLite συνδυάζει πληροφορίες από
Για την εξάλειψη των ψευδώς θετικών, η CRLite εισήγαγε πρόσθετα διορθωτικά επίπεδα φίλτρων. Μετά τη δημιουργία της δομής, αναζητούνται όλες οι εγγραφές πηγής και εντοπίζονται τυχόν ψευδώς θετικά στοιχεία. Με βάση τα αποτελέσματα αυτού του ελέγχου, δημιουργείται μια πρόσθετη δομή, η οποία εντάσσεται σε καταρράκτη στην πρώτη και διορθώνει τα ψευδώς θετικά που προκύπτουν. Η λειτουργία επαναλαμβάνεται μέχρι να εξαλειφθούν πλήρως τα ψευδώς θετικά κατά τον έλεγχο ελέγχου. Συνήθως, η δημιουργία 7-10 επιπέδων αρκεί για την πλήρη κάλυψη όλων των δεδομένων. Δεδομένου ότι η κατάσταση της βάσης δεδομένων, λόγω περιοδικού συγχρονισμού, υστερεί ελαφρώς σε σχέση με την τρέχουσα κατάσταση του CRL, ο έλεγχος των νέων πιστοποιητικών που εκδόθηκαν μετά την τελευταία ενημέρωση της βάσης δεδομένων CRLite πραγματοποιείται χρησιμοποιώντας το πρωτόκολλο OCSP, συμπεριλαμβανομένης της
Χρησιμοποιώντας φίλτρα Bloom, το τμήμα πληροφοριών Δεκεμβρίου από το WebPKI, που καλύπτει 100 εκατομμύρια ενεργά πιστοποιητικά και 750 χιλιάδες ανακληθέντα πιστοποιητικά, μπόρεσε να συσκευαστεί σε μια δομή μεγέθους 1.3 MB. Η διαδικασία δημιουργίας δομής είναι αρκετά εντατική σε πόρους, αλλά εκτελείται στον διακομιστή Mozilla και παρέχεται στον χρήστη μια έτοιμη ενημέρωση. Για παράδειγμα, σε δυαδική μορφή, τα δεδομένα προέλευσης που χρησιμοποιούνται κατά τη δημιουργία απαιτούν περίπου 16 GB μνήμης όταν αποθηκεύονται στο Redis DBMS, και σε δεκαεξαδική μορφή, η ένδειξη όλων των σειριακών αριθμών πιστοποιητικών διαρκεί περίπου 6.7 GB. Η διαδικασία συγκέντρωσης όλων των ανακληθέντων και ενεργών πιστοποιητικών διαρκεί περίπου 40 λεπτά και η διαδικασία δημιουργίας μιας συσκευασμένης δομής που βασίζεται στο φίλτρο Bloom διαρκεί άλλα 20 λεπτά.
Επί του παρόντος, η Mozilla διασφαλίζει ότι η βάση δεδομένων CRLite ενημερώνεται τέσσερις φορές την ημέρα (δεν παρέχονται όλες οι ενημερώσεις στους πελάτες). Η δημιουργία ενημερώσεων delta δεν έχει ακόμη υλοποιηθεί - η χρήση του bsdiff4, που χρησιμοποιείται για τη δημιουργία ενημερώσεων delta για εκδόσεις, δεν παρέχει επαρκή αποτελεσματικότητα για το CRLite και οι ενημερώσεις είναι αδικαιολόγητα μεγάλες. Για να εξαλειφθεί αυτό το μειονέκτημα, σχεδιάζεται να επεξεργαστεί εκ νέου τη μορφή της δομής αποθήκευσης για να εξαλειφθεί η περιττή αναδόμηση και διαγραφή επιπέδων.
Το CRLite λειτουργεί επί του παρόντος στον Firefox σε παθητική λειτουργία και χρησιμοποιείται παράλληλα με το OCSP για τη συγκέντρωση στατιστικών στοιχείων σχετικά με τη σωστή λειτουργία. Το CRLite μπορεί να αλλάξει σε λειτουργία κύριας σάρωσης· για να γίνει αυτό, πρέπει να ορίσετε την παράμετρο security.pki.crlite_mode = 2 στο about:config.
Πηγή: opennet.ru