Compania Mozilla
Verificarea certificatului folosind servicii externe bazate pe protocolul care este încă utilizat
Pentru a bloca certificatele care au fost compromise și revocate de autoritățile de certificare, Firefox a folosit o listă neagră centralizată din 2015
În mod implicit, dacă este imposibil de verificat prin OCSP, browserul consideră certificatul valid. Serviciul poate fi indisponibil din cauza problemelor de rețea și a restricțiilor asupra rețelelor interne sau blocat de atacatori - pentru a ocoli verificarea OCSP în timpul unui atac MITM, pur și simplu blocați accesul la serviciul de verificare. Parțial pentru a preveni astfel de atacuri, a fost implementată o tehnică
CRLite vă permite să consolidați informații complete despre toate certificatele revocate într-o structură ușor de actualizat, cu o dimensiune de doar 1 MB, ceea ce face posibilă stocarea unei baze de date CRL complete pe partea clientului.
Browserul își va putea sincroniza zilnic copia datelor despre certificatele revocate, iar această bază de date va fi disponibilă în orice condiții.
CRLite combină informații de la
Pentru a elimina falsele pozitive, CRLite a introdus niveluri suplimentare de filtre corective. După generarea structurii, toate înregistrările sursă sunt căutate și sunt identificate orice fals pozitiv. Pe baza rezultatelor acestei verificări, se creează o structură suplimentară, care este cascată pe prima și corectează fals-pozitivele rezultate. Operația se repetă până când falsele pozitive din timpul verificării de control sunt complet eliminate. De obicei, crearea a 7-10 straturi este suficientă pentru a acoperi complet toate datele. Deoarece starea bazei de date, din cauza sincronizării periodice, este ușor în urmă cu starea actuală a CRL, verificarea noilor certificate emise după ultima actualizare a bazei de date CRLite se efectuează folosind protocolul OCSP, inclusiv folosind
Folosind filtrele Bloom, porțiunea de informații din decembrie din WebPKI, care acoperă 100 de milioane de certificate active și 750 de mii de certificate revocate, a putut fi împachetată într-o structură de 1.3 MB. Procesul de generare a structurii necesită destul de mult resurse, dar este efectuat pe serverul Mozilla și utilizatorului i se oferă o actualizare gata făcută. De exemplu, în formă binară, datele sursă utilizate în timpul generării necesită aproximativ 16 GB de memorie atunci când sunt stocate în DBMS Redis, iar în formă hexazecimală, o descărcare a tuturor numerelor de serie ale certificatelor durează aproximativ 6.7 GB. Procesul de agregare a tuturor certificatelor revocate și active durează aproximativ 40 de minute, iar procesul de generare a unei structuri de pachete bazate pe filtrul Bloom durează încă 20 de minute.
Mozilla se asigură în prezent că baza de date CRLite este actualizată de patru ori pe zi (nu toate actualizările sunt livrate clienților). Generarea de actualizări delta nu a fost încă implementată - utilizarea bsdiff4, folosită pentru a crea actualizări delta pentru versiuni, nu oferă o eficiență adecvată pentru CRLite și actualizările sunt nerezonabil de mari. Pentru a elimina acest dezavantaj, este planificată reluarea formatului structurii de stocare pentru a elimina reconstrucția și ștergerea inutile a straturilor.
CRLite funcționează în prezent în Firefox în modul pasiv și este folosit în paralel cu OCSP pentru a acumula statistici despre funcționarea corectă. CRLite poate fi comutat în modul de scanare principal; pentru a face acest lucru, trebuie să setați parametrul security.pki.crlite_mode = 2 în about:config.
Sursa: opennet.ru