Λεπτομέρειες για τα τρέχοντα προγράμματα περιήγησης για τον έλεγχο της κατάστασης ανάκλησης του SSL /TLS πιστοποιητικά, συμπεριλαμβανομένης μιας δοκιμής μεταξύ προγραμμάτων περιήγησης.
Εισαγωγή
Έλεγχος της κατάστασης ανάκλησης SSL /TLS πιστοποιητικά που υποβλήθηκαν από HTTPS οι ιστότοποι είναι ένα συνεχές πρόβλημα στην ασφάλεια του ιστού. Εκτός αν ένας διακομιστής έχει ρυθμιστεί να χρησιμοποιεί Συρραφή OCSP, ο έλεγχος ανάκλησης μέσω διαδικτύου από προγράμματα περιήγησης ιστού είναι αργός και παραβιάζει την ιδιωτικότητα Επειδή τα διαδικτυακά ερωτήματα OCSP αποτυγχάνουν τόσο συχνά και είναι αδύνατα σε ορισμένες περιπτώσεις (όπως με πύλες αιχμαλωσίας), τα προγράμματα περιήγησης εφαρμόζουν γενικά τον έλεγχο OCSP σε λειτουργία «soft-fail», καθιστώντας το αναποτελεσματικό στην αποτροπή ενός αποφασισμένου εισβολέα. (Για ένα πιο πλήρες ιστορικό αυτού του ζητήματος, διαβάστε το άρθρο του SSL.com, Βελτιστοποίηση φόρτωσης σελίδας: Συρραφή OCSP).
Για αυτούς τους λόγους, τα προγράμματα περιήγησης ιστού έχουν εφαρμόσει μια σειρά λύσεων για τη μείωση ή την εξάλειψη της ανάγκης για έλεγχο ανάκλησης στο διαδίκτυο. Οι ακριβείς λεπτομέρειες διαφέρουν μεταξύ των παρόχων, αλλά αυτές οι λύσεις γενικά περιλαμβάνουν τη συλλογή λιστών ανακληθέντων πιστοποιητικών από αρχές έκδοσης πιστοποιητικών (CA) και την ώθηση τους σε προγράμματα περιήγησης.
Αυτό το άρθρο παρέχει περιλήψεις υψηλού επιπέδου των στρατηγικών ελέγχου επικύρωσης που χρησιμοποιούνται από μεγάλα προγράμματα περιήγησης επιτραπέζιων υπολογιστών (Chrome, Firefox, Safari, να άκρηκαι συγκρίνει τις απαντήσεις αυτών των προγραμμάτων περιήγησης με κάποιο δείγμα ανάκληση πιστοποιητικών φιλοξενείται από το SSL.com.
Google Chrome
Το Chrome βασίζεται Σετ CRL για έλεγχο ανάκλησης. Το CRLSet είναι απλώς μια λίστα ανακληθέντων πιστοποιητικών που ωθείται στο πρόγραμμα περιήγησης ως ενημέρωση λογισμικού. Σύμφωνα με την Ιστότοπος Chromium Projects, οι διαδικασίες με τις οποίες η Google δημιουργεί CRLSets είναι ιδιόκτητες, αλλά και αυτές
Τα CRLSets… είναι κυρίως ένα μέσο με το οποίο το Chrome μπορεί να αποκλείει γρήγορα πιστοποιητικά σε καταστάσεις έκτακτης ανάγκης. Ως δευτερεύουσα συνάρτηση μπορούν επίσης να περιέχουν έναν αριθμό ανακλήσεων έκτακτης ανάγκης. Αυτές οι τελευταίες ακυρώσεις λαμβάνονται μέσω ανίχνευσης CRL που δημοσιεύονται από CA.
Η παραπάνω δήλωση δείχνει ότι τουλάχιστον μερικοί Τα πιστοποιητικά τελικής οντότητας που έχουν ανακληθεί χαμηλής προτεραιότητας θα μπορούσαν να καταλήξουν σε CRLSets, αλλά ότι είναι δευτερεύον.
Μπορείτε να ελέγξετε την έκδοση CRLSet που είναι εγκατεστημένη αυτήν τη στιγμή σε μια παρουσία του Chrome μεταβαίνοντας στο chrome://components/:
opera://components. Όπως επισημάνθηκε παρακάτω, η τρέχουσα έκδοση του προγράμματος περιήγησης Edge της Microsoft βασίζεται επίσης στο Chromium και χρησιμοποιεί CRLSets.Προς το παρόν δεν είναι δυνατή η απευθείας διαμόρφωση του Chrome για την εκτέλεση ερωτημάτων εγκυρότητας πιστοποιητικού στο διαδίκτυο. Ωστόσο, ανάλογα με το λειτουργικό σύστημα, αυτοί οι έλεγχοι ενδέχεται να πραγματοποιούνται από την υποκείμενη βιβλιοθήκη πιστοποιητικών που χρησιμοποιείται από το λειτουργικό σύστημα. (Οπως φαίνεται παρακάτω στα αποτελέσματα από περιορισμένες δοκιμές προγράμματος περιήγησης, διαπιστώσαμε ότι οι εγκαταστάσεις του Chrome με τον ίδιο αριθμό έκδοσης και το CRLSet ανταποκρίθηκαν πραγματικά σε δύο ανακληθέντα πιστοποιητικά διαφορετικά στα Windows έναντι του macOS.)
Mozilla Firefox
Όπως η Google, η Mozilla διατηρεί μια κεντρική λίστα ανακληθέντων πιστοποιητικών, που ονομάζεται OneCRL. Το OneCRL είναι μια λίστα ενδιάμεσων πιστοποιητικών που έχουν ανακληθεί από τις ΑΠ στο πρόγραμμα ρίζας του Mozilla και προωθείται στους χρήστες του Firefox στις ενημερώσεις εφαρμογών. Όσον αφορά τα πιστοποιητικά τελικής οντότητας, τα Mozilla's σχέδιο ανάκλησης σημειώνει ότι "Στο μέλλον, όταν η αρχική εφαρμογή λειτουργεί, ενδέχεται να εξετάσουμε το ενδεχόμενο κάλυψης πιστοποιητικών ΕΕ με OneCRL, ενδεχομένως εστιάζοντας αρχικά σε συγκεκριμένες κατηγορίες (π.χ. πιστοποιητικά EV)".
Μπορείτε να κατεβάσετε το OneCRL ως αντικείμενο JSON εδώ, ή προβάλλεται ως ιστοσελίδα στο crt.sh.
Σε αντίθεση με το Chrome, οι προεπιλεγμένες ρυθμίσεις του Firefox ρωτούν επίσης τους ανταποκριτές OCSP για επιβεβαίωση της εγκυρότητας του SSL /TLS πιστοποιητικά. (Μπορείτε να αλλάξετε αυτήν τη ρύθμιση στις προτιμήσεις ασφαλείας του Firefox.)
Ωστόσο, επειδή οι αποτυχίες ερωτημάτων OCSP είναι τόσο συχνές, ο Firefox (όπως και άλλα προγράμματα περιήγησης) εφαρμόζει μια πολιτική «soft-fail». Εάν θέλετε, μπορείτε να απαιτήσετε αυστηρό έλεγχο OCSP μεταβαίνοντας στο about:config και εναλλαγή security.OCSP.require προς την true.
Apple Safari
Η τρέχουσα προσέγγιση της Apple για ανάκληση καλύπτεται από την Bailey Basile στην ομιλία της στο WWDC το 2017, Οι εφαρμογές σας και τα πρότυπα ασφάλειας του εξελισσόμενου δικτύου. Η Apple συλλέγει πληροφορίες ανάκλησης πιστοποιητικών από τις ΑΠ που είναι αξιόπιστες στις συσκευές της και τις συγκεντρώνει όλα σε ένα μόνο πακέτο που ανακτάται περιοδικά από το λογισμικό πελάτη της Apple (μοιάζει ακόμα με ένα οικείο σχέδιο;).
Όταν μια εφαρμογή πελάτη συναντά ένα πιστοποιητικό που εμφανίζεται στη λίστα της Apple, εκτελεί έλεγχο OCSP για να επιβεβαιώσει ότι το πιστοποιητικό ανακαλείται, στην πραγματικότητα (εκτός εάν ο διακομιστής παρέχει συσσωρευμένη απόκριση OCSP). Σημειώστε ότι οι διαδικτυακοί έλεγχοι OCSP πραγματοποιούνται μόνο στην περίπτωση πιστοποιητικών που η Apple πιστεύει ήδη ότι έχει ανακληθεί. Τα πιστοποιητικά που δεν αναφέρονται στο πακέτο που ανακτήθηκε από την Apple δεν ελέγχονται.
Διατίθεται ένας σύνδεσμος προς τη λίστα ανάκλησης της Apple και ο κωδικός για την ανάλυση εδώ.
Η Microsoft Edge
Τα Windows διατηρούν μια λίστα πιστοποιητικών που έχουν ανακληθεί ή άλλης μαύρης λίστας σε ένα αρχείο που ονομάζεται disallowedcert.stl. Αυτό εγγραφή blog παρέχει πληροφορίες σχετικά με την απόρριψη των περιεχομένων του αρχείου με το PowerShell. crt.sh παρέχει επίσης πληροφορίες σχετικά με το εάν ένα συγκεκριμένο πιστοποιητικό παρατίθεται στο disallowedcert.stl.
Όπως ο Firefox, τα Windows είναι ρυθμισμένα να ελέγχουν για ανάκληση πιστοποιητικού από προεπιλογή. Αυτή η ρύθμιση μπορεί να προβληθεί και να αλλάξει στο Ιδιότητες Internet Πίνακας Ελέγχου:
Ωστόσο, η τρέχουσα (βασισμένη σε Chromium) έκδοση του Edge, όπως το Chrome, βασίζεται σε CRLSets για έλεγχο ανάκλησης και εμφανίζεται από τις δοκιμές μας παρακάτω να είστε ανεξάρτητοι από τις ρυθμίσεις ελέγχου ανάκλησης στο Internet Properties. (Σημείωση: Σε μια προηγούμενη έκδοση αυτών των δοκιμών, που πραγματοποιήθηκε τον Σεπτέμβριο του 2019, ο Internet Explorer και μια έκδοση πριν από το Chromium του Edge έκανε ακολουθήστε αυτές τις ρυθμίσεις στο Internet Properties.)
Παραλλαγή μεταξύ προγραμμάτων περιήγησης
Δεδομένου ότι το SSL.com διατηρεί μια ομάδα διακομιστών ιστού που φιλοξενεί δείγματα που έχουν ανακαλέσει πιστοποιητικά, αποφασίσαμε να τα δοκιμάσουμε σε μια σειρά από προγράμματα περιήγησης επιτραπέζιου υπολογιστή. Αυτή η μικρή, όχι εξαιρετικά τρομερή επιστημονική δοκιμή πραγματοποιήθηκε στις 23 Φεβρουαρίου 2020. Τα προγράμματα περιήγησης που χρησιμοποιήθηκαν ήταν:
- Chrome 88.0.4324.182, CRL Ορισμός έκδοσης 6444 (macOS 10.15.7)
- Chrome 88.0.4324.182, CRL Ορισμός έκδοσης 6444 (Windows 10 Pro)
- Edge 88.0.705.74, CRL Ορισμός έκδοσης 6444 (Windows 10 Enterprise)
- Firefox 86.0 - Ερωτήματα OCSP ενεργοποιημένα (macOS 10.15.7)
- Firefox 86.0 - Απενεργοποίηση ερωτημάτων OCSP (macOS 10.15.7)
- Safari 14.0.3 (macOS 10.15.1)
Επιπλέον, δοκιμάσαμε το Chrome και το Edge στα Windows με τον έλεγχο ανάκλησης στο Διαδίκτυο απενεργοποιημένο στον πίνακα ελέγχου Ιδιότητες Internet και (για Chrome, Firefox και Edge) ελέγξαμε εάν το σχετικό πιστοποιητικό αναγράφηκε ως ανακλημένο με ένα συγκεκριμένο πρόγραμμα προγράμματος περιήγησης στο crt.sh.
| Chrome (macOS) | Chrome (Windows) | Edge (Windows) | Firefox (Mac) (ενεργοποιημένο το OCSP) | Firefox (Mac) (απενεργοποιημένο OCSP) | Safari (Mac) | |
|---|---|---|---|---|---|---|
| ανακληθεί-rsa-dv.ssl.com | Ανακλήθηκε | Δεν ανακλήθηκε | Δεν ανακλήθηκε | Ανακλήθηκε | Δεν ανακλήθηκε | Ανακλήθηκε |
| ανακληθεί-rsa-ev.ssl.com | Ανακλήθηκε | Ανακλήθηκε | Ανακλήθηκε | Ανακλήθηκε | Δεν ανακλήθηκε | Ανακλήθηκε |
| ανακληθεί-ecc-dv.ssl.com | Ανακλήθηκε | Δεν ανακλήθηκε | Δεν ανακλήθηκε | Ανακλήθηκε | Δεν ανακλήθηκε | Ανακλήθηκε |
| ανακληθεί-ecc-ev.ssl.com | Ανακλήθηκε | Ανακλήθηκε | Ανακλήθηκε | Ανακλήθηκε | Δεν ανακλήθηκε | Ανακλήθηκε |
Συζήτηση των αποτελεσμάτων
Χρώμιο: Στα Windows, το Chrome έδειξε εσφαλμένα δύο από τα ανακληθέντα πιστοποιητικά (ανακληθεί-rsa-dv.ssl.com και ανακληθεί-ecc-dv.ssl.com) ως έγκυρο και τα άλλα ανακληθέντα. Η απενεργοποίηση του ελέγχου επικύρωσης στο λειτουργικό σύστημα δεν άλλαξε αυτήν την απόκριση. Είναι ενδιαφέρον ότι κανένα από τα τέσσερα πιστοποιητικά δεν εμφανίστηκε ως ανακλημένο στο CRLSet in crt.sh κατά τη στιγμή της δοκιμής, προτείνοντας περαιτέρω ερωτήσεις σχετικά με τις διαδικασίες ελέγχου ανάκλησης του Chrome. Σε macOS, το Chrome έδειξε σωστά και τα τέσσερα πιστοποιητικά που έχουν ανακληθεί, δείχνοντας διαφορές βάσει πλατφόρμας στη συμπεριφορά του Chrome.
Edge: Η τρέχουσα (βασισμένη σε Chromium) έκδοση του Edge αντικατοπτρίζει το Chrome στην εμφάνιση ανακληθεί-rsa-dv.ssl.com και ανακληθεί-ecc-dv.ssl.com ως έγκυρο. Όπως και το Chrome, το Edge έδειξε τα ίδια αποτελέσματα εάν ο έλεγχος επικύρωσης ήταν ενεργοποιημένος ή όχι στο λειτουργικό σύστημα. Κανένα από τα τέσσερα πιστοποιητικά δεν εμφανίστηκε όπως αναφέρεται στο disallowedcert.stl on crt.sh.
Firefox: Όπως αναμενόταν από τη δηλωμένη εστίαση της OneCRL στα ενδιάμεσα πιστοποιητικά, ο Firefox αναγνώρισε μόνο τα τέσσερα πιστοποιητικά ως ανακλημένα με τα ερωτήματα OCSP ενεργοποιημένα στις προτιμήσεις του προγράμματος περιήγησης, αλλά δέχτηκαν και τα τέσσερα ως έγκυρα εάν τα ερωτήματα OCSP απενεργοποιήθηκαν. (Σημείωση: Και τα τέσσερα από αυτά τα ανακληθέντα πιστοποιητικά τελικής οντότητας εκδόθηκαν από έγκυρα ενδιάμεσα που δεν έχουν ανακληθεί.) Όπως και με το Chrome, crt.sh δεν εμφανίζει κανένα από τα πιστοποιητικά που ανακαλούνται στο OneCRL.
Safari: Το Safari στο macOS αναγνώρισε σωστά και τα τέσσερα πιστοποιητικά ως ανακληθέντα. crt.sh δεν εμφανίζει πληροφορίες ανάκλησης της Apple και δεν ελέγξαμε για να δούμε αν αυτά τα συγκεκριμένα πιστοποιητικά παρατίθενται ως ανακλημένα από την Apple.
Συμπέρασμα
Τα αποτελέσματα δείχνουν ότι η ανάκληση εξακολουθεί να είναι ένα προβληματικό ζήτημα για προγράμματα περιήγησης για επιτραπέζιους υπολογιστές (οι κινητές συσκευές αντιπροσωπεύουν έναν εντελώς διαφορετικό κόσμο, αλλά αυτό είναι ένα θέμα για ένα άλλο άρθρο). Η ενεργοποίηση (αργός, ανασφαλής) διαδικτυακός έλεγχος OCSP ήταν απαραίτητος για την αναγνώριση των πιστοποιητικών που έχουν ανακληθεί στον Firefox, ενώ το Chrome και το Edge απέτυχαν να αναγνωρίσουν δύο ανακληθέντα πιστοποιητικά στα Windows, ανεξάρτητα από το εάν ο έλεγχος ανάκλησης ήταν ενεργοποιημένος ή όχι στο λειτουργικό σύστημα.
Για τους ιδιοκτήτες ιστότοπων, φαίνεται συνετό να υποθέσουμε ότι τα διάφορα προγράμματα προγράμματος περιήγησης επικεντρώνονται σε συμβάντα υψηλής προτεραιότητας / έκτακτης ανάγκης, όπως τα ανακληθέντα πιστοποιητικά ρίζας και τα ενδιάμεσα πιστοποιητικά CA και ότι η ανάκληση πιστοποιητικών τελικής οντότητας με ποικιλία κήπων είναι πιθανό να περάσει απαρατήρητη για ένα αόριστη περίοδο. Για το λόγο αυτό, η εφαρμογή Συρραφή OCSP και Must-Staple φαίνεται να είναι ο πιο ιδιωτικός, ασφαλής και αποτελεσματικός τρόπος για να διασφαλιστεί ότι οι τελικοί χρήστες λαμβάνουν ακριβείς πληροφορίες σχετικά με την ανάκληση πιστοποιητικών τελικής οντότητας.
Το SSL.com παρέχει μια μεγάλη ποικιλία SSL /TLS πιστοποιητικά διακομιστή για ιστότοπους HTTPS.
