Адам Лэнгли (Adam Langley) из компании Google сообщил [4] о планах отказаться от использования OCSP [5] и CRL [6] проверок сертификатов на актуальность в режиме онлайн (Revocation checking) в следующих версиях Chrome. Как известно, при подключении по протоколу HTTPS к любому сайту браузер делает запрос в центр сертификации (Certificate Authorities) на предмет того, не отозван ли сертификат, предъявленный сервером.
Лэнгли считает этот подход в современных условиях крайне неэффективным. Так, доверенный центр сертификации может быть не доступен браузеру. Например, такая ситуация возникает при web-аутентификации доступа в Интернет, используемой в беспроводных сетях (hotspots) - портал доступа (captive portal) блокирует все ресурсы (в том числе и запросы к CA-серверам), кроме собственного HTTPS-сайта с формой ввода учетных данных. При недоступности сервиса проверки сертификата большинство браузеров игнорируют сбой и продолжают считать сертификат валидным. При совершении атаки злоумышленники могут воспользоваться данной особенностью и блокировать доступ пользователя к online-службам проверки сертификатов.
Другой проблемой является то, что OCSP/CRL проверки даже при доступности сервиса занимают достаточно много времени, что приводит к ощутимым задержкам при открытии сайта (до 1 секунды). Кроме того, такие проверки негативно отражаются на приватности, так как раскрывают третьей стороне факт открытия определённого сайта (CA получает IP пользователя и имя домена).
В качестве выхода разработчики Chrome предлагают использовать периодически обновляемый статический список отозванных сертификатов, встроенный в браузер. Обновление списка отозванных сертификатов может осуществляться совместно с обновлением других компонентов браузера, что не внесет существенные риски в безопасность, но сможет повысить комфортность работы в Интернет для простых пользователей. В Google разрабатывают механизм обновления списка отозванных сертификатов без необходимости перезапуска Chrome.
Дополнительно, стоит отметить связанную с SSL-сертификатами инициативу Mozilla. В настоящее время обсуждается [7] вопрос об исключении из бразуера Firefox и других продуктов Mozilla корневого сертификата удостоверяющего центра Trustwave [8]. Компания Trustwave продала [9] вторичный корневой сертификат стороннему лицу, соответственно данная посторонняя организация получила возможность производить неограниченное количество SSL-сертификатов для любых доменов. Подобный шаг противоречит политике [10] построения цепочки доверия, принятой в Mozilla и может угрожать информационной безопасности пользователей. Список доверенных сертификатов Mozilla используется также в других продуктах (например, в Perl-модуле Net::SSLeay).
Представители Trustwave не видят [11] в этой ситуации ничего выходящего за рамки обычной практики и приводят в качестве примера покупку компанией Symantec центра сертификации VeriSign. Тем не менее, в случае VeriSign имело место полная продажа бизнеса CA, в то время как Trustwave продала сертификат с целью обеспечения работы системы корпоративного мониторинга [12] утечек данных (сертификат будет использоваться для организации перехвата SSL-сессий в режиме man-in-middle, путём генерации на лету валидных сертификатов для анализируемых сессий).
Ссылки:
[1] http://htfl.ru/cat-news-google-chrome
[2] http://htfl.ru/cat-news-mozilla
[3] http://htfl.ru/cat-news-novosti
[4] /out.php?link=http://www.imperialviolet.org/2012/02/05/crlsets.html
[5] /out.php?link=http://en.wikipedia.org/wiki/OCSP
[6] /out.php?link=http://en.wikipedia.org/wiki/Certificate_revocation_list
[7] /out.php?link=https://bugzilla.mozilla.org/show_bug.cgi?id=724929
[8] /out.php?link=https://www.trustwave.com/
[9] /out.php?link=http://blog.spiderlabs.com/2012/02/clarifying-the-trustwave-ca-policy-update.html
[10] /out.php?link=http://www.mozilla.org/projects/security/certs/policy/
[11] h"ttp://www.h-online.com/security/news/item/Mozilla-considers-removing-Trustwave-CA-1430998.html"
[12] /out.php?link=https://www.trustwave.com/data-loss-prevention/monitor.php