İnternet güvenliği genellikle güvenlik, işlevsellik ve kullanıcı deneyiminin hassas bir dansı haline gelir. Tarayıcıları, iptal edilen sertifikalarla ilgili olarak CA'lar tarafından sağlanan bilgilerle bağlamak için süregelen mücadelenin en iyi örneği. Bu SSS, zaman içinde bu amaç için kullanılan birincil mekanizmaları tanımlar. CRL'ler, OCSP, OCSP Zımbalama ve Mutlaka Zımba, ve son olarak, CRLit.
CA'ların, verilen sertifikalarının iptal durumunu yayınlama girişimi, sertifika iptal listeleri (CRL'ler). CRL, basitçe, CA'nın planlanan süreleri dolmadan önce iptal ettiği tüm sertifikaların bir listesidir. Bunlar CA'lar tarafından periyodik olarak güncellenir ve tarayıcıların her HTTPS bağlantısından önce bunları gözden geçirmesi gerekir. Zamanla, her tarayıcının onları gözden geçirme görevi gibi CRL'lerin boyutu büyüdü. Büyük (ve büyüyen) bir CRL'yi indirmek ve ayrıştırmak için gereken süre arttıkça, kullanıcı için gecikmeler de arttı. Bu sorunları azaltmak amacıyla, tarayıcılar ve CA'lar Çevrimiçi Sertifika Durum Protokolünü (OCSP) geliştirdi ve uygulamaya koydu.
The Çevrimiçi Sertifika Durum Protokolü (OCSP) SSL'nin iptal durumunu belirlemek için web tarayıcıları tarafından kullanılan İnternet protokolüdür /TLS HTTPS web siteleri tarafından sağlanan sertifikalar. SSL /TLS sertifikalar her zaman bir sona erme tarihiyle verilir, bir sertifikanın süresi dolmadan önce iptal edilmesi gereken bazı durumlar vardır (örneğin, ilişkili özel anahtarının güvenliği ihlal edilmişse). Bu nedenle, bir web sitesinin sertifikasının mevcut geçerliliği, son kullanma tarihine bakılmaksızın her zaman müşteriler tarafından kontrol edilmelidir.
En basit haliyle OCSP aşağıdaki gibi çalışır:
1. Bir web tarayıcısı HTTPS web sitesinden bir sertifika alır.
2. Web tarayıcısı, sertifikayı veren sertifika yetkilisi (CA) tarafından işletilen bir sunucu olan OCSP yanıtlayıcısına bir istek gönderir.
3. OCSP yanıtlayıcısının tarayıcıya verdiği imzalı yanıt, sertifikanın geçerli olup olmadığını veya iptal edildiğini gösterir.
Maalesef OCSP bir dizi sorunla geldi. Pek çok OCSP uygulaması yeterince güvenilir değildi, bu da sabırsız tarayıcıları ve diğer istemci yazılımlarını OCSP denetimini yazılım hatası modunda uygulamaya zorladı. Bu, yanıt verirken bir OCSP sunucusuna zamanında ulaşılamazsa, sertifikanın geçerli kabul edileceği ve HTTPS bağlantısıyla devam edeceği anlamına gelir.
Ortadaki adam saldırıları, tüm OCSP sorgularını veya bağlantılarını engelleyerek ve güvenilir bir HTTPS bağlantısına erişmek için çalınmış bir sertifika kullanarak bundan yararlandı. Bu, hassas bilgilerin kötü aktörlerle paylaşılmasına neden olabilir ve bu da çözüm olarak OCSP Zımbalamaya yol açar.
Başlangıçta sertifika iptal listelerinin (CRL'ler) bant genişliği ve ölçeklendirme sorunlarını çözmek için tanıtılmış olsa da, OCSP, şu anda üzerinden ele alınmakta olan kendi başına birkaç performans ve güvenlik sorunu ortaya çıkardı. OCSP zımbalama. OCSP zımbalamasında:
1. Bir web sunucusu, 7 güne kadar önbelleğe alınabilen bir OCSP yanıtlayıcısından sertifikası için imzalı bir OCSP yanıtı ister ve alır.
2. Sunucu, web tarayıcılarına HTTPS yanıtlarında önbelleğe alınmış OCSP yanıtını ve sertifikasını içerir (veya "zımbalanmış").
3. Bir web sitesinin, zımbalanmış bir OCSP yanıtı olmadan çalınan iptal edilmiş bir sertifikayı sunduğu olası bir saldırıyı önlemek için, sertifikalar için OCSP zımbalamasını zorunlu kılan bir zorunlu zımba uzantısıyla verilebilir.
MITM saldırganlarının kötü niyetli hareketlerinden motive olan CA'lar ve tarayıcı satıcıları, SSL sertifikaları için bir uzantı sundu. OCSP Zımbalayıcı (içinde tanımlanmıştır RFC 7633, ancak burada "OCSP Zorunlu Zımba" olarak belirtilmemiştir).
OCSP Zorunlu Zımba, sertifika için OCSP Zımbalama gerektirir. Bir tarayıcı, OCSP Zımbalama olmadan bir sertifika ile temasa geçerse, reddedilecektir. Zorunlu-Staple yalnızca sürüm düşürme saldırıları tehdidini azaltmakla kalmaz, aynı zamanda CA'nın OCSP yanıtlayıcılarına gelen gereksiz trafiği azaltarak yanıt verme hızını ve genel OCSP performansını iyileştirir.
CRLit TÜM iptal edilmiş SSL hakkında bilgi gönderecek yeni önerilen bir standarttır /TLS sertifikaları doğrudan tarayıcılara aktarın. Bu, iptal edilen CA'lar hakkındaki bilgileri doğrudan tarayıcılara entegre ederek, tarayıcılar ve CA'lar arasındaki tüm külfetli süreçleri ve güvenilmez bağlantıları potansiyel olarak ortadan kaldırabilir.
Önemli bir endişe, depolanan bilgi miktarı, CRL'lerin ne kadar büyük ve büyüyen boyutunun OCSP süreçlerinin temel sorunlarından biri olduğunu görmek olabilir. CRLite çiçeklenme filtrelerini kullanır büyük miktarda veriyi sıkıştırarak tarayıcılar için daha yönetilebilir hale getirir.
Bir sertifika çok yeniyse, yani henüz herhangi bir güncellemeye dahil edilmediğinden, tarayıcı OCSP'yi (zımbalanmış veya aktif olarak sorgulanmış) kullanır.
