Ga naar inhoud

Firefox wil CRLite inzetten voor controle ingetrokken certificaten


Aanbevolen berichten

Sinds december maakt een vroege testversie van Firefox gebruik van CRLite waarmee ingetrokken tls-certificaten zijn te controleren. CRLite is een technologie die informatie over ingetrokken certificaten zo effectief weet te comprimeren dat 300 megabytes aan zogeheten "revocation data" 1 megabyte wordt.

Tls-certificaten zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om de website te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het tls-certificaat worden ingetrokken. Deze informatie moet vervolgens aan de browser worden gecommuniceerd.

Dit kan via Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP). Het probleem met CRLs is dat ze vrij snel heel groot werden en vooral irrelevante data bevatten, waardoor browser besloten om ze niet te downloaden. Daarnaast was het OCSP volgens Mozilla onbetrouwbaar. Wanneer het niet werkte gingen browsers ervan uit dat het certificaat nog steeds geldig was. Een aanvaller tussen de gebruiker en het internet kan bijvoorbeeld het OCSP-verzoek van Firefox blokkeren.

Mozilla zoekt dan ook naar een alternatief voor OCSP en CRLite kan dat mogelijk gaan bieden. Het kan namelijk alle informatie over ingetrokken certificaten op een snelle, compacte en effectieve manier naar gebruikers sturen. Op dit moment gebruikt Firefox Nightly, een vroege testversie van de browser, CRLite alleen voor telemetriedoeleinden. Gebruikers kunnen de technologie echter instellen zodat voor bepaalde websites de certificaatcontrole via CRLite plaatsvindt. Het is op dit moment nog niet mogelijk om OCSP uit te schakelen, maar daar zal Mozilla later meer informatie over geven.

 

 

bron: security.nl

Link naar reactie
Delen op andere sites

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.