Бесплатно Экспресс-аудит сайта:

14.01.2020

Mozilla представила новый механизм определения отозванных сертификатов

В ночных сборках браузера Mozilla Firefox началось тестирование нового механизма определения отозванных сертификатов — CRLite. Он обеспечивает эффективную проверку отзыва сертификатов по базе данных, размещаемой на системе пользователя.

Раньше применялась проверка сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol), однако она требовала постоянного доступа к Сети и вызывала задержки в обработке запроса (в среднем 350 мс). Организация локальной проверки по спискам CRL (Certificate Revocation List), в свою очередь, затруднена большим размером данных, поскольку база данных отозванных сертификатов занимает больше 300 МБ.

CRLite позволяет разместить информацию об отозванных сертификатах в легко обновляемую структуру размером всего 1 MB, предоставляя возможность хранить полную базу данных на стороне клиента. Таким образом браузер сможет каждый день синхронизировать информацию об отозванных сертификатах, и база данных будет доступна при любых обстоятельствах. Это достигается путем объединения данных из системы регистрации и мониторинга выдачи TLS-сертификатов Certificate Transparency (CT) и результатов сканирования в интернете с использованием каскадных фильтров Блума, создавая надежную, легко проверяемую и обновляемую структуру данных.

В Mozilla обновление базы данных CRLite осуществляется четыре раза в день, однако не все обновления доставляются клиентам.

CRLite в настоящее время работает в браузере в пассивном режиме и используется параллельно с протоколом OCSP, собирая данные телеметрии об эффективности работы. Пользователи ночной сборки Firefox могут перевести CRLite в режим основной проверки, установив параметр security.pki.crlite_mode = 2 в about:config.