image

Firefox wil CRLite inzetten voor controle ingetrokken certificaten

vrijdag 10 januari 2020, 11:27 door Redactie, 3 reacties

Sinds december maakt een vroege testversie van Firefox gebruik van CRLite waarmee ingetrokken tls-certificaten zijn te controleren. CRLite is een technologie die informatie over ingetrokken certificaten zo effectief weet te comprimeren dat 300 megabytes aan zogeheten "revocation data" 1 megabyte wordt.

Tls-certificaten zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om de website te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het tls-certificaat worden ingetrokken. Deze informatie moet vervolgens aan de browser worden gecommuniceerd.

Dit kan via Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP). Het probleem met CRLs is dat ze vrij snel heel groot werden en vooral irrelevante data bevatten, waardoor browser besloten om ze niet te downloaden. Daarnaast was het OCSP volgens Mozilla onbetrouwbaar. Wanneer het niet werkte gingen browsers ervan uit dat het certificaat nog steeds geldig was. Een aanvaller tussen de gebruiker en het internet kan bijvoorbeeld het OCSP-verzoek van Firefox blokkeren.

Mozilla zoekt dan ook naar een alternatief voor OCSP en CRLite kan dat mogelijk gaan bieden. Het kan namelijk alle informatie over ingetrokken certificaten op een snelle, compacte en effectieve manier naar gebruikers sturen. Op dit moment gebruikt Firefox Nightly, een vroege testversie van de browser, CRLite alleen voor telemetriedoeleinden. Gebruikers kunnen de technologie echter instellen zodat voor bepaalde websites de certificaatcontrole via CRLite plaatsvindt. Het is op dit moment nog niet mogelijk om OCSP uit te schakelen, maar daar zal Mozilla later meer informatie over geven.

Reacties (3)
10-01-2020, 16:02 door Anoniem
Kijk eens waar de slechtste resultaten werden behaald:
https://luxsci.com/smtp-tls-checker zie recent worst results (de recentelijk meest slechte resultaten).

Hoe het werkt https://blog.mozilla.org/security/2020/01/09/crlite-part-2-end-to-end-design/

Hoe men er wil komen, beschreven hier: https://www.certificate-transparency.org/ [./url]Hoe het in Chrome gebeurt: https://www.certificate-transparency.org/certificate-transparency-in-chromeluntrus.
10-01-2020, 17:09 door Anoniem
Door Anoniem: Kijk eens waar de slechtste resultaten werden behaald:
https://luxsci.com/smtp-tls-checker zie recent worst results (de recentelijk meest slechte resultaten).
Dat gaat over e-SMTP. Welke relevantie heeft dat voor een webbrowser?
10-01-2020, 23:45 door Anoniem
Zoek op CertVerifier.cpp op Github, dan heb je de code.

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.