О компании     Как оплатить?     А в кредит можно?     А привезете?     А как вас найти?     А у меня сломалось...      
 
 
Компьютерный интернет-магазин
Товаров: 0
Сумма: 0
Курс (нал): 62.00
Безнал: 64.50
(499) 700-00-40
ICQ12325772 ICQ21969923  
 
 
 
 
 
 
 
 
Подарки выбери себе сам

Кредит

Trade-In

 
 

Mozilla внедряет CRLite для проверки проблемных TLS-сертификатов

CRLite позволяет организовать эффективную проверку отзыва сертификатов по базе данных, размещаемой на системе пользователя. Компания Mozilla объявила о начале тестирования в ночных сборках Firefox нового механизма определения отозванных сертификатов — CRLite. Код для генерации БД и серверные компоненты написаны на Python и Go. Развиваемая в Mozilla реализация CRLite опубликована под свободной лицензией MPL 2.0. Добавленные в Firefox клиентские части для чтения данных из БД подготовлены на языке Rust.

Организация локальной проверки по спискам CRL (Certificate Revocation List) затруднена большим размером данных — в настоящее время БД отозванных сертификатов занимает около 300 МБ и её рост продолжается. Применяемая до сих пор поверка сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol) требует наличия гарантированного сетевого доступа и приводит к возникновению ощутимой задержки на обработку запроса (в среднем 350 мс).

Несмотря на большую работу по повышению надёжности сервиса online-проверки сертификатов, данные телеметрии показывают, что более 7% запросов OCSP завершается таймаутом (несколько лет назад этот показатель составлял 15%). Для блокирования скомпрометированных и отозванных удостоверяющими центрами сертификатов в Firefox с 2015 года используется централизованный чёрный список OneCRL в сочетании с обращением к сервису Google Safe Browsing для определения возможной вредоносной активности.

Частично для предотвращения подобных атак реализована техника Must-Staple, позволяющая трактовать ошибку обращения по OCSP как проблему с сертификатом, но данная возможность опциональна и требует специального оформления сертификата. Сервис может быть недоступен как из-за сетевых проблем и ограничений внутренних сетях, так и блокирован атакующими — для обхода проверки OCSP в ходе MITM-атаки достаточно просто заблокировать доступ к сервису проверки.

Браузер сможет ежедневно синхронизировать свою копию данных об отозванных сертификатах и эта БД будет доступна при любых условиях. CRLite позволяет свести полные сведения о всех отозванных сертификатах в легко обновляемую структуру, размером всего 1 MB, что даёт возможность хранить полную базу CRL на стороне клиента.

Данные упаковываются с использованием каскадных фильтров Блума, вероятностной структуры, допускающей ложное определение отсутствующего элемента, но исключающей пропуск существующего элемента (т.е. CRLite объединяет сведения из Certificate Transparency, публичного лога всех выданных и отозванных сертификатов, и результатов сканирования сертификатов в интернете (собираются различные CRL-списки удостоверяющих центров и агрегируется информация о всех известных сертификатах). с определённой вероятностью возможно ложное срабатывание на корректный сертификат, но отозванные сертификаты гарантированно будут выявлены).

После генерации структуры осуществляется перебор всех исходных записей и определение возникших ложных срабатываний. Для исключения ложных срабатываний в CRLite введены дополнительные корректирующие уровни фильтра. Операция повторяется до тех пор, пока ложные срабатывания при контрольной проверке не будут полностью исключены. По результатам данной проверки создаётся дополнительная структура, которая каскадно накладывается на первую и корректирует возникшие ложные срабатывания. Так как состояние БД из-за периодической синхронизации немного отстаёт от актуального состояния CRL, проверка новых сертификатов, выписанных после последнего обновления БД CRLite, осуществляется при помощи протокола OCSP. Обычно для полного покрытия всех данных достаточно создания 7–10 слоёв.

Процесс генерации структуры достаточно ресурсоёмкий, но он выполняется на сервере Mozilla и пользователю отдаётся уже готовое обновление. При помощи фильтров Блума декабрьский срез сведений из WebPKI, охватывающий 100 млн активных сертификатов и 750 тысяч отозванных сертификатов, удалось упаковать в структуру, размером 1.3 MB. Процесс агрегирования всех отозванных и активных сертификатов занимает около 40 минут, а процесс генерации упакованной структуры на основе фильтра Блума требует ещё 20 минут. Например, в бинарной форме используемые при генерации исходные данные требуют около 16 ГБ памяти при хранении в СУБД Redis, а в шестнадцатеричном виде дамп всех серийных номеров сертификатов занимает около 6.7 Гб.

Генерация delta-обновлений пока не реализована — применение bsdiff4, используемого для создания delta-обновлений релизов, не обеспечивает должную эффективность для CRLite и обновления получаются неоправданно большими. В настоящее время в Mozilla обеспечено обновление БД CRLite четыре раза в день (не все обновляется доставляются клиентам). Для устранения этого недостатка планируется переработать формат структуры хранения для исключения лишнего перестроения и удаления слоёв.

CRLite можно перевести в режим основной проверки, для этого в about: config нужно установить параметр security.pki.crlite_mode = 2. CRLite пока работает в Firefox в пассивном режиме и используется параллельно с OCSP для накопления статистики о корректности работы.

num=52175 Источник: http://www.opennet.ru/opennews/art.shtml?

Организация локальной проверки по спискам CRL (Certificate Revocation List) затруднена большим размером данных — в настоящее время БД отозванных сертификатов занимает около 300 МБ и её рост продолжается. Применяемая до сих пор поверка сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol) требует наличия гарантированного сетевого доступа и приводит к возникновению ощутимой задержки на обработку запроса (в среднем 350 мс).

CRLite позволяет организовать эффективную проверку отзыва сертификатов по базе данных, размещаемой на системе пользователя. Компания Mozilla объявила о начале тестирования в ночных сборках Firefox нового механизма определения отозванных сертификатов — CRLite. Код для генерации БД и серверные компоненты написаны на Python и Go. Развиваемая в Mozilla реализация CRLite опубликована под свободной лицензией MPL 2.0. Добавленные в Firefox клиентские части для чтения данных из БД подготовлены на языке Rust.

Частично для предотвращения подобных атак реализована техника Must-Staple, позволяющая трактовать ошибку обращения по OCSP как проблему с сертификатом, но данная возможность опциональна и требует специального оформления сертификата. Сервис может быть недоступен как из-за сетевых проблем и ограничений внутренних сетях, так и блокирован атакующими — для обхода проверки OCSP в ходе MITM-атаки достаточно просто заблокировать доступ к сервису проверки.

Несмотря на большую работу по повышению надёжности сервиса online-проверки сертификатов, данные телеметрии показывают, что более 7% запросов OCSP завершается таймаутом (несколько лет назад этот показатель составлял 15%). Для блокирования скомпрометированных и отозванных удостоверяющими центрами сертификатов в Firefox с 2015 года используется централизованный чёрный список OneCRL в сочетании с обращением к сервису Google Safe Browsing для определения возможной вредоносной активности.

Данные упаковываются с использованием каскадных фильтров Блума, вероятностной структуры, допускающей ложное определение отсутствующего элемента, но исключающей пропуск существующего элемента (т.е. CRLite объединяет сведения из Certificate Transparency, публичного лога всех выданных и отозванных сертификатов, и результатов сканирования сертификатов в интернете (собираются различные CRL-списки удостоверяющих центров и агрегируется информация о всех известных сертификатах). с определённой вероятностью возможно ложное срабатывание на корректный сертификат, но отозванные сертификаты гарантированно будут выявлены).

Браузер сможет ежедневно синхронизировать свою копию данных об отозванных сертификатах и эта БД будет доступна при любых условиях. CRLite позволяет свести полные сведения о всех отозванных сертификатах в легко обновляемую структуру, размером всего 1 MB, что даёт возможность хранить полную базу CRL на стороне клиента.

После генерации структуры осуществляется перебор всех исходных записей и определение возникших ложных срабатываний. Для исключения ложных срабатываний в CRLite введены дополнительные корректирующие уровни фильтра. Операция повторяется до тех пор, пока ложные срабатывания при контрольной проверке не будут полностью исключены. По результатам данной проверки создаётся дополнительная структура, которая каскадно накладывается на первую и корректирует возникшие ложные срабатывания. Так как состояние БД из-за периодической синхронизации немного отстаёт от актуального состояния CRL, проверка новых сертификатов, выписанных после последнего обновления БД CRLite, осуществляется при помощи протокола OCSP. Обычно для полного покрытия всех данных достаточно создания 7–10 слоёв.

Генерация delta-обновлений пока не реализована — применение bsdiff4, используемого для создания delta-обновлений релизов, не обеспечивает должную эффективность для CRLite и обновления получаются неоправданно большими. В настоящее время в Mozilla обеспечено обновление БД CRLite четыре раза в день (не все обновляется доставляются клиентам). Для устранения этого недостатка планируется переработать формат структуры хранения для исключения лишнего перестроения и удаления слоёв.

Процесс генерации структуры достаточно ресурсоёмкий, но он выполняется на сервере Mozilla и пользователю отдаётся уже готовое обновление. При помощи фильтров Блума декабрьский срез сведений из WebPKI, охватывающий 100 млн активных сертификатов и 750 тысяч отозванных сертификатов, удалось упаковать в структуру, размером 1.3 MB. Процесс агрегирования всех отозванных и активных сертификатов занимает около 40 минут, а процесс генерации упакованной структуры на основе фильтра Блума требует ещё 20 минут. Например, в бинарной форме используемые при генерации исходные данные требуют около 16 ГБ памяти при хранении в СУБД Redis, а в шестнадцатеричном виде дамп всех серийных номеров сертификатов занимает около 6.7 Гб.

num=52175 Источник: http://www.opennet.ru/opennews/art.shtml?

CRLite можно перевести в режим основной проверки, для этого в about: config нужно установить параметр security.pki.crlite_mode = 2. CRLite пока работает в Firefox в пассивном режиме и используется параллельно с OCSP для накопления статистики о корректности работы.

Дата публикации: 13-01-2020

Ещё новости


  04.08.2020  Крупная космическая компания представила дизайн нового сверхзвукового пассажирского самолета

Так, например, американская Boom Technology совсем недавно подписала соглашение о создании двигателя для своего сверхзвукового авиалайнера Overture. Напомним, что помимо Virgin Galactic, подобные разработки...

  04.08.2020  Выпущен мини-компьютер размером с ладонь

В этом компьютеру помогают встроенный адаптер Wi-Fi пятого поколения и Bluetooth 4.2. По заявлениям компании-разработчика, устройство идеально подойдет для офисных задач, веб-серфинга, а также использования...

  31.07.2020  Huawei анонсировала умные часы с двумя камерами

Однако стоит отметить, что в данном случае речь лишь о непреднамеренном погружении в воду. Поскольку корпус «умных» часов имеет уровень защищенности 5 ATM, обе камеры способны функционировать и в воде....

  06.08.2020  Квартальный отчёт WDC: поставки жёстких дисков сокращаются, цены растут

Квартальная выручка в годовом сравнении выросла на 18%, до $4,29 млрд. Наметившееся было затишье в сфере финансовой отчётности нарушила корпорация Western Digital, которая завершила фискальный год в июле....

  31.07.2020  Аналитики TechNavio прогнозируют стабильный рост рынка носимых медицинских приборов в ближайшие годы

Согласно их прогнозу, в период с 2020 по 2024 год указанный рынок в денежном выражении вырастет на 10,24 млрд долларов. Специалисты аналитической компании Technavio подготовили прогноз, относящийся к мировому...



Все новости
 
 
  © 2003-2020 Ноутбуки и компьютеры
Все права защищены