Spoločnosť Mozilla
Overenie certifikátu pomocou externých služieb na základe protokolu, ktorý sa stále používa
Na blokovanie certifikátov, ktoré boli napadnuté a zrušené certifikačnými autoritami, používa Firefox od roku 2015 centralizovanú čiernu listinu
Štandardne, ak nie je možné overiť cez OCSP, prehliadač považuje certifikát za platný. Služba môže byť nedostupná pre problémy so sieťou a obmedzenia interných sietí alebo zablokovaná útočníkmi – ak chcete obísť kontrolu OCSP počas útoku MITM, jednoducho zablokujte prístup k službe kontroly. Čiastočne na zabránenie takýmto útokom bola implementovaná technika
CRLite umožňuje konsolidovať kompletné informácie o všetkých odvolaných certifikátoch do jednoducho aktualizovanej štruktúry s veľkosťou len 1 MB, ktorá umožňuje uložiť kompletnú CRL databázu na strane klienta.
Prehliadač bude môcť denne synchronizovať svoju kópiu údajov o zrušených certifikátoch a táto databáza bude dostupná za akýchkoľvek podmienok.
CRLite kombinuje informácie z
Aby sa eliminovali falošné poplachy, CRLite zaviedlo ďalšie korekčné úrovne filtra. Po vygenerovaní štruktúry sa prehľadajú všetky zdrojové záznamy a identifikujú sa všetky falošné poplachy. Na základe výsledkov tejto kontroly sa vytvorí dodatočná štruktúra, ktorá je kaskádovito napojená na prvú a koriguje výsledné falošné pozitíva. Operácia sa opakuje až do úplného odstránenia falošných pozitív pri kontrolnej kontrole. Vytvorenie 7-10 vrstiev zvyčajne postačuje na úplné pokrytie všetkých údajov. Keďže stav databázy v dôsledku periodickej synchronizácie mierne zaostáva za aktuálnym stavom CRL, kontrola nových certifikátov vydaných po poslednej aktualizácii databázy CRLite sa vykonáva pomocou protokolu OCSP, vrátane použitia
Pomocou filtrov Bloom sa decembrový výsek informácií z WebPKI, ktorý zahŕňal 100 miliónov aktívnych certifikátov a 750 tisíc zrušených certifikátov, podarilo zbaliť do štruktúry s veľkosťou 1.3 MB. Proces generovania štruktúry je pomerne náročný na zdroje, ale vykonáva sa na serveri Mozilla a používateľovi je poskytnutá hotová aktualizácia. Napríklad v binárnej forme si zdrojové údaje používané počas generovania vyžadujú približne 16 GB pamäte, keď sú uložené v systéme Redis DBMS, a v hexadecimálnej forme zaberie výpis všetkých sériových čísel certifikátov približne 6.7 GB. Proces agregácie všetkých odvolaných a aktívnych certifikátov trvá približne 40 minút a proces generovania zbalenej štruktúry na základe Bloom filtra trvá ďalších 20 minút.
Mozilla v súčasnosti zabezpečuje aktualizáciu databázy CRLite štyrikrát denne (nie všetky aktualizácie sa doručujú klientom). Generovanie delta aktualizácií ešte nebolo implementované - použitie bsdiff4, ktorý sa používa na vytváranie delta aktualizácií pre vydania, neposkytuje primeranú efektivitu pre CRLite a aktualizácie sú neprimerane veľké. Na odstránenie tohto nedostatku sa plánuje prepracovať formát štruktúry úložiska, aby sa eliminovalo zbytočné prestavovanie a odstraňovanie vrstiev.
CRLite momentálne funguje vo Firefoxe v pasívnom režime a používa sa súbežne s OCSP na zhromažďovanie štatistík o správnej činnosti. CRLite je možné prepnúť do hlavného režimu skenovania; na to musíte nastaviť parameter security.pki.crlite_mode = 2 v about:config.
Zdroj: opennet.ru