Tiedot nykyisistä selainohjelmista SSL: n peruutustilan tarkistamiseksi /TLS varmenteet, mukaan lukien selainten välinen testi.
esittely
SSL: n peruutustilan tarkistaminen /TLS todistukset esittänyt HTTPS verkkosivustot ovat jatkuva verkkoturvallisuusongelma. Ellei palvelinta ole määritetty käyttämään OCSP-nidonta, selainten online-tarkistus on sekä hidasta että yksityisyyttä vaarantavaa. Koska online-OCSP-kyselyt epäonnistuvat niin usein ja ovat mahdottomia joissakin tilanteissa (kuten vankeudessa olevien portaalien kanssa), selaimet toteuttavat OCSP-tarkistuksen yleensä "pehmeä vika" -tilassa, mikä tekee siitä tehotonta estääkseen päättäväisen hyökkääjän. (Lisätietoja tämän numeron historiasta, lue SSL.com: n artikkeli, Sivukuormituksen optimointi: OCSP nidonta).
Näistä syistä selaimet ovat ottaneet käyttöön erilaisia ratkaisuja vähentääkseen tai eliminoidaksesi online-peruutuksen tarkistuksen tarpeen. Tarkat yksityiskohdat vaihtelevat palveluntarjoajien välillä, mutta näihin ratkaisuihin sisältyy yleensä peruutettujen varmenteiden luetteloiden kerääminen varmentajaviranomaisilta (CA) ja niiden siirtäminen selaimille.
Tämä artikkeli tarjoaa korkean tason yhteenvedot validointitarkistusstrategioista, joita suurimmat työpöydän selaimet käyttävät (kromi, Firefox, safarija reuna) ja vertaa näiden selainten vastauksia joihinkin näytteisiin peruutetut sertifikaatit isännöi SSL.com.
Google Chrome
Chrome luottaa CRL-sarjat peruuttamisen tarkistamiseen. CRLSet on yksinkertaisesti luettelo peruutetuista sertifikaateista, jotka työnnetään selaimeen ohjelmistopäivityksenä. Mukaan Chromium Projects -verkkosivusto, prosessit, joilla Google tuottaa CRLSets, ovat omistusoikeutta, mutta myös sitä
CRLSetit ovat ensisijaisesti keino, jolla Chrome voi nopeasti estää varmenteet hätätilanteissa. Toissijaisena toimintona ne voivat sisältää myös jonkin verran muita kuin hätätilanteessa tehtyjä peruutuksia. Viimeksi mainitut peruutukset saadaan indeksoimalla varmentajien julkaisemat CRL: t.
Yllä oleva lausunto osoittaa, että ainakin jonkin verran alhaisen prioriteetin peruutetut loppukäyttäjäsertifikaatit voivat päätyä CRLSets-ohjelmiin, mutta että ne ovat toissijainen huomio.
Voit tarkistaa Chromen esimerkkiin tällä hetkellä asennetun CRLSet-version siirtymällä kohtaan chrome://components/:
opera://components. Kuten huomautettiin alle, Microsoftin Edge-selaimen nykyinen versio perustuu myös Chromiumiin ja käyttää CRLSets-asetuksia.Chromea ei tällä hetkellä voida määrittää suoraan suorittamaan online-varmenteiden voimassaolokyselyjä. Käyttöjärjestelmästä riippuen nämä tarkistukset voi kuitenkin suorittaa käyttöjärjestelmän käyttämä taustalla oleva sertifikaattikirjasto. (Kuten voidaan nähdä alle Rajoitettujen selaintestien tuloksissa havaitsimme, että Chromen asennukset, joilla oli sama versionumero ja CRLSet, reagoivat kahteen peruutettuun varmenteeseen eri tavalla Windowsissa kuin macOS: ssa.)
Mozilla Firefox
Kuten Google, myös Mozilla ylläpitää keskitettyä luetteloa peruutetuista sertifikaateista OneCRL. OneCRL on luettelo välivarmenteista, jotka CA: t ovat peruuttaneet Mozillan pääohjelmasta, ja se siirretään Firefox-käyttäjille sovelluspäivityksissä. Lopullisten yksiköiden varmenteiden osalta Mozilla peruuttamissuunnitelma toteaa, että "tulevaisuudessa, kun alkuperäinen käyttöönotto on valmis, voimme tutkia EE-varmenteiden kattamista OneCRL: llä, mahdollisesti keskittymällä aluksi tiettyihin luokkiin (esim. EV-varmenteet)."
OneCRL voidaan ladata JSON-objektina tätä, tai katsotaan verkkosivuna osoitteessa crt.sh.
Toisin kuin Chrome, Firefoxin oletusasetuksissa kysytään myös OCSP-vastaajilta vahvistamaan SSL /TLS todistukset. (Voit muuttaa tätä asetusta Firefoxin suojausasetuksissa.)
Koska OCSP-kyselyvirheet ovat kuitenkin niin yleisiä, Firefox (kuten muutkin selaimet) toteuttaa "pehmeä epäonnistuminen" -käytännön. Halutessasi voit vaatia tarkkaa OCSP-tarkistusta siirtymällä kohtaan about:config ja vaihtaminen security.OCSP.require että true.
Apple Safari
Applen nykyinen lähestymistapa peruuttamiseen on kuvattu Bailey Basileen vuonna 2017 julkaisemassa WWDC-keskustelussa, Omat sovelluksesi ja kehittyvät verkon suojaustandardit. Apple kerää varmenteiden peruutustiedot varmentajilta, joille sen laitteisiin luotetaan, ja koota ne kaikki yhdeksi paketiksi, jonka Applen asiakasohjelmisto noutaa ajoittain (kuulostaa vielä tutulta suunnitelmalta?).
Kun asiakassovellus kohtaa varmenteen, joka näkyy Applen luettelossa, se suorittaa OCSP-tarkistuksen varmistaakseen, että varmenne on tosiasiallisesti peruutettu (paitsi jos palvelin tarjoaa nidottua OCSP-vastausta). Huomaa, että online-OCSP-tarkastukset tehdään vain varmenteille, joiden Apple uskoo jo peruutetuiksi; varmenteita, joita ei ole lueteltu Apple-paketista, ei tarkisteta.
Linkki Applen peruutusluetteloon ja koodin jäsentämiseen on käytettävissä tätä.
Microsoft Edge
Windows ylläpitää luetteloa peruutetuista tai muuten mustalla listalla olevista varmenteista disallowedcert.stl. Tämä blogin merkintä tarjoaa tietoja tiedoston sisällön tyhjentämisestä PowerShellissä. crt.sh tarjoaa myös tietoja siitä, onko tietty varmenne luettelossa disallowedcert.stl.
Kuten Firefox, Windows on asetettu tarkistamaan oletusvarmenteiden kumoaminen. Tätä asetusta voidaan tarkastella ja muuttaa Internet-ominaisuudet Ohjauspaneeli:
Edgen nykyinen (Chromium-pohjainen) versio, kuten Chrome, luottaa CRLSets-koodeihin peruutusten tarkistamiseen ja näkyy testeistämme alle olla riippumaton Internet-ominaisuuksien kumoamisen tarkistusasetuksista. (Huomautus: Näiden testien edellisessä versiossa, tehty syyskuussa 2019, Internet Explorer ja Edgen kromia edeltävä versio teki noudata näitä asetuksia Internet-ominaisuuksissa.)
Vaihtelu selainten välillä
Koska SSL.com ylläpitää joukkoa Web-palvelimia, joissa on näytteitä peruutetuista varmenteista, päätimme testata niitä useilla työpöydän selaimilla. Tämä pieni, ei kovin tieteellinen testi suoritettiin 23. helmikuuta 2020. Käytetyt selaimet olivat:
- Chrome 88.0.4324.182, CRLSet-versio 6444 (macOS 10.15.7)
- Chrome 88.0.4324.182, CRLSet-versio 6444 (Windows 10 Pro)
- Edge 88.0.705.74, CRLSet-versio 6444 (Windows 10 Enterprise)
- Firefox 86.0 - OCSP-kyselyt (macOS 10.15.7)
- Firefox 86.0 - OCSP-kyselyt pois päältä (macOS 10.15.7)
- Safari 14.0.3 (macOS 10.15.1)
Lisäksi testasimme Chromen ja Edgen Windows-käyttöjärjestelmässä, kun online-kumoustarkistus oli poistettu käytöstä Internet-ominaisuuksien ohjauspaneelista ja (Chrome, Firefox ja Edge) tarkistimme, onko asianmukainen varmenne peruutettu tietyllä selainohjelmalla crt.sh.
| Chrome (macOS) | Chrome (Windows) | Edge (Windows) | Firefox (Mac) (OCSP käytössä) | Firefox (Mac) (OCSP pois päältä) | Safari (Mac) | |
|---|---|---|---|---|---|---|
| peruutettu-rsa-dv.ssl.com | peruutettu | Ei peruutettu | Ei peruutettu | peruutettu | Ei peruutettu | peruutettu |
| peruttu-rsa-ev.ssl.com | peruutettu | peruutettu | peruutettu | peruutettu | Ei peruutettu | peruutettu |
| peruutettu-ecc-dv.ssl.com | peruutettu | Ei peruutettu | Ei peruutettu | peruutettu | Ei peruutettu | peruutettu |
| peruutettu-ecc-ev.ssl.com | peruutettu | peruutettu | peruutettu | peruutettu | Ei peruutettu | peruutettu |
Tulosten tarkastelu
Kromi: Windowsissa Chrome näytti virheellisesti kaksi kumottuja varmenteita (peruutettu-rsa-dv.ssl.com ja peruutettu-ecc-dv.ssl.com) pätevänä ja muut peruutettuina. Validointitarkistuksen poistaminen käytöstä käyttöjärjestelmässä ei muuttanut tätä vastausta. Mielenkiintoista on, että yhtäkään neljästä sertifikaatista ei näytetty peruutetuksi CRLSetissä vuonna XNUMX crt.sh testihetkellä, mikä ehdottaa lisäkysymyksiä Chromen peruuttamisen tarkistusprosesseista. MacOS: ssa Chrome osoitti kaikki neljä varmentetta peruutetuksi, mikä havainnollistaa alustapohjaisia eroja Chromen toiminnassa.
Reuna: Edgen nykyinen (kromipohjainen) versio heijastaa Chromea näytettäessä peruutettu-rsa-dv.ssl.com ja peruutettu-ecc-dv.ssl.com voimassaolevana. Kuten Chrome, Edge näytti samat tulokset riippumatta siitä, onko validointitarkistus otettu käyttöön käyttöjärjestelmässä. Mitään neljästä sertifikaatista ei esitetty luettelossa disallowedcert.stl on crt.sh.
firefox: Kuten OneCRL: n väitetystä keskitetystä välivarmenteista voidaan odottaa, Firefox tunnisti vain kaikki neljä varmentetta peruutetuiksi, kun selaimen asetuksissa on otettu käyttöön OCSP-kyselyt, mutta hyväksyi kaikki neljä päteväksi, jos OCSP-kyselyt poistettiin käytöstä. (Huomautus: Kaikki nämä neljä peruutettua loppukäyttäjäsertifikaattia annettiin kelvollisista, peruuttamattomista välituotteista.) Kuten Chromessa, crt.sh ei näytä yhtäkään sertifikaattia, joka on peruutettu OneCRL: ssä.
Safari: MacOS: n Safari tunnisti oikein kaikki neljä varmennetta peruutettuna. crt.sh ei näytä Applen peruutustietoja, ja emme tarkistaneet, onko nämä tietyt varmenteet luetteloitu Applen peruuttamiksi.
Yhteenveto
Tulokset näyttävät osoittavan, että peruuttaminen on edelleen ongelmallinen työpöydän selaimissa (mobiililaitteet edustavat aivan eri maailmaa, mutta se on toisen artikkelin aihe). OCSP: n online-tarkistuksen ottaminen käyttöön (hidas, epävarma) oli tarpeen tunnistaa sertifikaatit peruutetuiksi Firefoxissa, kun taas Chrome ja Edge eivät tunnistaneet kahta kumottua sertifikaattia Windowsissa riippumatta siitä, otettiinko peruutusten tarkistus käyttöön käyttöjärjestelmässä.
Verkkosivuston omistajille näyttää viisasta olettaa, että erilaiset selainohjelmat ovat keskittyneet korkean prioriteetin / hätätilanteisiin, kuten peruutetut juurivarmenteet ja keskitason CA-varmenteet, ja että puutarhalajikkeen loppukäyttäjäsertifikaattien peruuttamiset todennäköisesti menevät huomaamatta. toistaiseksi. Tästä syystä toteuttaminen OCSP-niitit ja mustanauhat näyttää olevan yksityisin, turvallisin ja tehokkain tapa varmistaa, että loppukäyttäjät saavat tarkkoja tietoja loppukäyttäjäsertifikaattien peruuttamisesta.
SSL.com tarjoaa laajan valikoiman SSL /TLS palvelinvarmenteet HTTPS-verkkosivustoille.
