О компании     Как оплатить?     А в кредит можно?     А привезете?     А как вас найти?     А у меня сломалось...      
 
 
Компьютерный интернет-магазин
Товаров: 0
Сумма: 0
Курс (нал): 62.00
Безнал: 64.50
(499) 700-00-40
ICQ12325772 ICQ21969923  
 
 
 
 
 
 
 
 
Кредит

Подарки выбери себе сам

Trade-In

 
 

Mozilla внедряет CRLite для проверки проблемных TLS-сертификатов

CRLite позволяет организовать эффективную проверку отзыва сертификатов по базе данных, размещаемой на системе пользователя. Компания Mozilla объявила о начале тестирования в ночных сборках Firefox нового механизма определения отозванных сертификатов — CRLite. Код для генерации БД и серверные компоненты написаны на Python и Go. Развиваемая в Mozilla реализация CRLite опубликована под свободной лицензией MPL 2.0. Добавленные в Firefox клиентские части для чтения данных из БД подготовлены на языке Rust.

Организация локальной проверки по спискам CRL (Certificate Revocation List) затруднена большим размером данных — в настоящее время БД отозванных сертификатов занимает около 300 МБ и её рост продолжается. Применяемая до сих пор поверка сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol) требует наличия гарантированного сетевого доступа и приводит к возникновению ощутимой задержки на обработку запроса (в среднем 350 мс).

Несмотря на большую работу по повышению надёжности сервиса online-проверки сертификатов, данные телеметрии показывают, что более 7% запросов OCSP завершается таймаутом (несколько лет назад этот показатель составлял 15%). Для блокирования скомпрометированных и отозванных удостоверяющими центрами сертификатов в Firefox с 2015 года используется централизованный чёрный список OneCRL в сочетании с обращением к сервису Google Safe Browsing для определения возможной вредоносной активности.

Частично для предотвращения подобных атак реализована техника Must-Staple, позволяющая трактовать ошибку обращения по OCSP как проблему с сертификатом, но данная возможность опциональна и требует специального оформления сертификата. Сервис может быть недоступен как из-за сетевых проблем и ограничений внутренних сетях, так и блокирован атакующими — для обхода проверки OCSP в ходе MITM-атаки достаточно просто заблокировать доступ к сервису проверки.

Браузер сможет ежедневно синхронизировать свою копию данных об отозванных сертификатах и эта БД будет доступна при любых условиях. CRLite позволяет свести полные сведения о всех отозванных сертификатах в легко обновляемую структуру, размером всего 1 MB, что даёт возможность хранить полную базу CRL на стороне клиента.

Данные упаковываются с использованием каскадных фильтров Блума, вероятностной структуры, допускающей ложное определение отсутствующего элемента, но исключающей пропуск существующего элемента (т.е. CRLite объединяет сведения из Certificate Transparency, публичного лога всех выданных и отозванных сертификатов, и результатов сканирования сертификатов в интернете (собираются различные CRL-списки удостоверяющих центров и агрегируется информация о всех известных сертификатах). с определённой вероятностью возможно ложное срабатывание на корректный сертификат, но отозванные сертификаты гарантированно будут выявлены).

После генерации структуры осуществляется перебор всех исходных записей и определение возникших ложных срабатываний. Для исключения ложных срабатываний в CRLite введены дополнительные корректирующие уровни фильтра. Операция повторяется до тех пор, пока ложные срабатывания при контрольной проверке не будут полностью исключены. По результатам данной проверки создаётся дополнительная структура, которая каскадно накладывается на первую и корректирует возникшие ложные срабатывания. Так как состояние БД из-за периодической синхронизации немного отстаёт от актуального состояния CRL, проверка новых сертификатов, выписанных после последнего обновления БД CRLite, осуществляется при помощи протокола OCSP. Обычно для полного покрытия всех данных достаточно создания 7–10 слоёв.

Процесс генерации структуры достаточно ресурсоёмкий, но он выполняется на сервере Mozilla и пользователю отдаётся уже готовое обновление. При помощи фильтров Блума декабрьский срез сведений из WebPKI, охватывающий 100 млн активных сертификатов и 750 тысяч отозванных сертификатов, удалось упаковать в структуру, размером 1.3 MB. Процесс агрегирования всех отозванных и активных сертификатов занимает около 40 минут, а процесс генерации упакованной структуры на основе фильтра Блума требует ещё 20 минут. Например, в бинарной форме используемые при генерации исходные данные требуют около 16 ГБ памяти при хранении в СУБД Redis, а в шестнадцатеричном виде дамп всех серийных номеров сертификатов занимает около 6.7 Гб.

Генерация delta-обновлений пока не реализована — применение bsdiff4, используемого для создания delta-обновлений релизов, не обеспечивает должную эффективность для CRLite и обновления получаются неоправданно большими. В настоящее время в Mozilla обеспечено обновление БД CRLite четыре раза в день (не все обновляется доставляются клиентам). Для устранения этого недостатка планируется переработать формат структуры хранения для исключения лишнего перестроения и удаления слоёв.

CRLite можно перевести в режим основной проверки, для этого в about: config нужно установить параметр security.pki.crlite_mode = 2. CRLite пока работает в Firefox в пассивном режиме и используется параллельно с OCSP для накопления статистики о корректности работы.

num=52175 Источник: http://www.opennet.ru/opennews/art.shtml?

Организация локальной проверки по спискам CRL (Certificate Revocation List) затруднена большим размером данных — в настоящее время БД отозванных сертификатов занимает около 300 МБ и её рост продолжается. Применяемая до сих пор поверка сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol) требует наличия гарантированного сетевого доступа и приводит к возникновению ощутимой задержки на обработку запроса (в среднем 350 мс).

CRLite позволяет организовать эффективную проверку отзыва сертификатов по базе данных, размещаемой на системе пользователя. Компания Mozilla объявила о начале тестирования в ночных сборках Firefox нового механизма определения отозванных сертификатов — CRLite. Код для генерации БД и серверные компоненты написаны на Python и Go. Развиваемая в Mozilla реализация CRLite опубликована под свободной лицензией MPL 2.0. Добавленные в Firefox клиентские части для чтения данных из БД подготовлены на языке Rust.

Частично для предотвращения подобных атак реализована техника Must-Staple, позволяющая трактовать ошибку обращения по OCSP как проблему с сертификатом, но данная возможность опциональна и требует специального оформления сертификата. Сервис может быть недоступен как из-за сетевых проблем и ограничений внутренних сетях, так и блокирован атакующими — для обхода проверки OCSP в ходе MITM-атаки достаточно просто заблокировать доступ к сервису проверки.

Несмотря на большую работу по повышению надёжности сервиса online-проверки сертификатов, данные телеметрии показывают, что более 7% запросов OCSP завершается таймаутом (несколько лет назад этот показатель составлял 15%). Для блокирования скомпрометированных и отозванных удостоверяющими центрами сертификатов в Firefox с 2015 года используется централизованный чёрный список OneCRL в сочетании с обращением к сервису Google Safe Browsing для определения возможной вредоносной активности.

Данные упаковываются с использованием каскадных фильтров Блума, вероятностной структуры, допускающей ложное определение отсутствующего элемента, но исключающей пропуск существующего элемента (т.е. CRLite объединяет сведения из Certificate Transparency, публичного лога всех выданных и отозванных сертификатов, и результатов сканирования сертификатов в интернете (собираются различные CRL-списки удостоверяющих центров и агрегируется информация о всех известных сертификатах). с определённой вероятностью возможно ложное срабатывание на корректный сертификат, но отозванные сертификаты гарантированно будут выявлены).

Браузер сможет ежедневно синхронизировать свою копию данных об отозванных сертификатах и эта БД будет доступна при любых условиях. CRLite позволяет свести полные сведения о всех отозванных сертификатах в легко обновляемую структуру, размером всего 1 MB, что даёт возможность хранить полную базу CRL на стороне клиента.

После генерации структуры осуществляется перебор всех исходных записей и определение возникших ложных срабатываний. Для исключения ложных срабатываний в CRLite введены дополнительные корректирующие уровни фильтра. Операция повторяется до тех пор, пока ложные срабатывания при контрольной проверке не будут полностью исключены. По результатам данной проверки создаётся дополнительная структура, которая каскадно накладывается на первую и корректирует возникшие ложные срабатывания. Так как состояние БД из-за периодической синхронизации немного отстаёт от актуального состояния CRL, проверка новых сертификатов, выписанных после последнего обновления БД CRLite, осуществляется при помощи протокола OCSP. Обычно для полного покрытия всех данных достаточно создания 7–10 слоёв.

Генерация delta-обновлений пока не реализована — применение bsdiff4, используемого для создания delta-обновлений релизов, не обеспечивает должную эффективность для CRLite и обновления получаются неоправданно большими. В настоящее время в Mozilla обеспечено обновление БД CRLite четыре раза в день (не все обновляется доставляются клиентам). Для устранения этого недостатка планируется переработать формат структуры хранения для исключения лишнего перестроения и удаления слоёв.

Процесс генерации структуры достаточно ресурсоёмкий, но он выполняется на сервере Mozilla и пользователю отдаётся уже готовое обновление. При помощи фильтров Блума декабрьский срез сведений из WebPKI, охватывающий 100 млн активных сертификатов и 750 тысяч отозванных сертификатов, удалось упаковать в структуру, размером 1.3 MB. Процесс агрегирования всех отозванных и активных сертификатов занимает около 40 минут, а процесс генерации упакованной структуры на основе фильтра Блума требует ещё 20 минут. Например, в бинарной форме используемые при генерации исходные данные требуют около 16 ГБ памяти при хранении в СУБД Redis, а в шестнадцатеричном виде дамп всех серийных номеров сертификатов занимает около 6.7 Гб.

num=52175 Источник: http://www.opennet.ru/opennews/art.shtml?

CRLite можно перевести в режим основной проверки, для этого в about: config нужно установить параметр security.pki.crlite_mode = 2. CRLite пока работает в Firefox в пассивном режиме и используется параллельно с OCSP для накопления статистики о корректности работы.

Дата публикации: 13-01-2020

Ещё новости


  14.01.2020  Извержение вулкана на Филиппинах засняли из космоса

  18.01.2020  У Xiaomi есть новые доступные беспроводные наушники

После выпуска наушников Mi Airdots, Mi AirDots Youth и Mi True Wireless китайская компания работает над новой моделью полностью беспроводных наушников. В прошлом году Xiaomi выпустила сразу несколько полностью...

  15.01.2020  AMD дала понять, кому не советует покупать Ryzen Threadripper 3990X за $3990

Несмотря на наличие достаточного прогресса в оптимизации программного обеспечения под использование более чем 32 потоков, представитель AMD не советует тратиться на приобретение Ryzen Threadripper 3990X...

  17.01.2020  В России разрешили запускать игры для Xbox на смартфоне

  14.01.2020  Новые данные о характеристиках флагманских смартфонов серии Samsung Galaxy S20

Флагман использовал неназванный процессор Qualcomm, коим скорее всего является Snapdragon 865. Samsung Galaxy S20+ 5G имеет номер SM-G986U и работал при тестировании на операционной системе Google Android...



Все новости
 
 
  © 2003-2020 Ноутбуки и компьютеры
Все права защищены