SSL'nin iptal durumunu kontrol etmek için mevcut tarayıcı programlarının ayrıntıları /TLS tarayıcılar arası test dahil olmak üzere sertifikalar.
Giriş
SSL'nin iptal durumunu kontrol etme /TLS tarafından sunulan sertifikalar HTTPS web siteleri, web güvenliğinde devam eden bir sorundur. Bir sunucu kullanmak üzere yapılandırılmadığı sürece OCSP Zımbalama, web tarayıcıları tarafından yapılan çevrimiçi iptal denetimi hem yavaştır hem de gizliliği tehlikeye atar. Çevrimiçi OCSP sorguları çok sık başarısız olduğu ve bazı durumlarda (sabit portallarda olduğu gibi) imkansız olduğu için, tarayıcılar genellikle OCSP denetimini "yazılım hatası" modunda uygulayarak kararlı bir saldırganı caydırmada etkisiz hale getirir. (Bu sorunun daha eksiksiz bir geçmişi için lütfen SSL.com'un makalesini okuyun, Sayfa Yükü Optimizasyonu: OCSP Zımbalama).
Bu nedenlerle, web tarayıcıları çevrimiçi iptal denetimine olan ihtiyacı azaltmak veya ortadan kaldırmak için bir dizi çözüm uyguladı. Kesin ayrıntılar sağlayıcılar arasında değişiklik gösterir, ancak bu çözümler genellikle sertifika yetkililerinden (CA) iptal edilmiş sertifika listelerinin toplanmasını ve tarayıcılara aktarılmasını içerir.
Bu makale, başlıca masaüstü tarayıcıları tarafından kullanılan doğrulama-kontrol stratejilerinin üst düzey özetlerini sağlar (krom, Firefox, Safari, ve kenar) ve bu tarayıcıların yanıtlarını bazı örneklerle karşılaştırır iptal edilmiş sertifikalar SSL.com tarafından barındırılmaktadır.
Google Chrome
Chrome güveniyor CRLSkümeleri iptal kontrolü için. CRLSet, tarayıcıya bir yazılım güncellemesi olarak gönderilen iptal edilmiş sertifikaların bir listesidir. Göre Chromium Projects web sitesi, Google'ın CRLSets oluşturduğu işlemler tescillidir, ancak
CRLSets… öncelikle Chrome'un acil durumlarda sertifikaları hızla engelleyebileceği bir araçtır. İkincil bir işlev olarak, bazı acil olmayan iptal işlemlerini de içerebilirler. Bu son iptaller, CA'lar tarafından yayınlanan CRL'ler taranarak elde edilir.
Yukarıdaki ifade en azından biraz düşük öncelikli iptal edilmiş son varlık sertifikaları CRLSets ile sonuçlanabilir, ancak bunlar ikincil bir husustur.
Şu anda Chrome'un bir örneğinde yüklü olan CRLSet sürümünü şuraya giderek kontrol edebilirsiniz: chrome://components/:
opera://components. Belirtildiği gibi altındaMicrosoft Edge tarayıcısının mevcut sürümü de Chromium'a dayanıyor ve CRLSets kullanıyor.Şu anda Chrome'u çevrimiçi sertifika geçerlilik sorguları gerçekleştirecek şekilde doğrudan yapılandırmak mümkün değildir. Ancak, işletim sistemine bağlı olarak, bu kontroller işletim sistemi tarafından kullanılan temel sertifika kitaplığı tarafından gerçekleştirilebilir. (Görülebileceği gibi altında Sınırlı tarayıcı testlerinden elde edilen sonuçlarda, aynı sürüm numarasına ve CRLSet'e sahip Chrome yüklemelerinin aslında Windows ve macOS'ta iptal edilen iki sertifikaya farklı yanıt verdiğini gördük.)
Mozilla Firefox
Google gibi, Mozilla da merkezi bir iptal edilmiş sertifikalar listesi tutar. Bir CRL. OneCRL, Mozilla'nın kök programında CA'lar tarafından iptal edilen ve uygulama güncellemelerinde Firefox kullanıcılarına gönderilen ara sertifikaların bir listesidir. Son varlık sertifikaları ile ilgili olarak, Mozilla'nın iptal planı "Gelecekte, ilk uygulama çalıştıktan sonra, muhtemelen başlangıçta belirli sınıflara (örn. EV sertifikaları) odaklanarak, EE sertifikalarını OneCRL ile kapsamayı araştırabiliriz."
OneCRL bir JSON nesnesi olarak indirilebilir okuyunveya adresinde bir web sayfası olarak görüntüleniyor crt.sh.
Chrome'un aksine, Firefox'un varsayılan ayarları ayrıca OCSP yanıtlayıcılarını SSL /TLS sertifikalar. (Bu ayarı Firefox'un güvenlik tercihlerinde değiştirebilirsiniz.)
Ancak, OCSP sorgu hataları çok yaygın olduğundan, Firefox (diğer tarayıcılar gibi) bir "yazılım hatası" ilkesi uygular. Dilerseniz, şu adrese giderek sıkı OCSP denetimi isteyebilirsiniz: about:config ve değiştiriyor security.OCSP.require için true.
Apple Safari
Apple'ın yürürlükten kaldırmaya yönelik mevcut yaklaşımı, 2017 WWDC konuşmasında Bailey Basile tarafından ele alınmaktadır. Uygulamalarınız ve Gelişen Ağ Güvenlik Standartları. Apple, aygıtlarında güvenilen CA'lardan sertifika iptal bilgilerini toplar ve hepsini Apple'ın istemci yazılımı tarafından periyodik olarak alınan tek bir pakette toplar (tanıdık bir plan gibi geliyor mu?).
Bir istemci uygulaması Apple'ın listesinde gösterilen bir sertifikayla karşılaştığında, sertifikanın gerçekten iptal edildiğini doğrulamak için bir OCSP kontrolü gerçekleştirir (sunucu zımbalanmış bir OCSP yanıtı sağlamadığı sürece). Çevrimiçi OCSP kontrollerinin yalnızca Apple'ın zaten iptal edildiğini düşündüğü sertifikalar durumunda yapıldığını unutmayın; Apple'dan alınan pakette listelenmeyen sertifikalar kontrol edilmez.
Apple'ın iptal listesine bir bağlantı ve onu ayrıştırmak için kod mevcuttur okuyun.
Microsoft Kenar
Windows adlı dosyada iptal edilen veya kara listeye alınan sertifikaların bir listesini tutar disallowedcert.stl. Bu blog girişi PowerShell ile dosya içeriğinin dökümü hakkında bilgi sağlar. crt.sh ayrıca belirli bir sertifikanın listelenip listelenmediğine ilişkin bilgi sağlar disallowedcert.stl.
Firefox gibi, Windows varsayılan olarak sertifika iptalini kontrol edecek şekilde ayarlanmıştır. Bu ayar şurada görüntülenebilir ve değiştirilebilir Internet Özellikleri Kontrol Paneli:
Ancak, Chrome gibi Edge'in mevcut (Chromium tabanlı) sürümü, iptal kontrolü için CRLSets'e güveniyor ve testlerimizde görünüyor altında İnternet Özellikleri'ndeki iptal denetimi ayarlarından bağımsız olması. (Not: Eylül 2019'da yapılan bu testlerin önceki bir sürümünde, Internet Explorer ve Edge'in Chromium öncesi bir sürümü yaptı İnternet Özellikleri'nde bu ayarları izleyin.)
Tarayıcılar Arasındaki Varyasyon
SSL.com, örnek iptal edilmiş sertifikaları barındıran bir grup web sunucusu bulundurduğundan, bunları bir dizi masaüstü tarayıcıda test etmeye karar verdik. Bu küçük, çok bilimsel olmayan test 23 Şubat 2020'de gerçekleştirildi. Kullanılan tarayıcılar şunlardı:
- Chrome 88.0.4324.182, CRLSet sürümü 6444 (macOS 10.15.7)
- Chrome 88.0.4324.182, CRLSet 6444 sürümü (Windows 10 Pro)
- Edge 88.0.705.74, CRLSet 6444 sürümü (Windows 10 Enterprise)
- Firefox 86.0 - OCSP sorguları açık (macOS 10.15.7)
- Firefox 86.0 - OCSP sorguları kapalı (macOS 10.15.7)
- Safari 14.0.3 (macOS 10.15.1)
Ek olarak, Windows'ta Chrome ve Edge'i İnternet Özellikleri kontrol panelinde devre dışı bırakılmış çevrimiçi iptal kontrolü ile test ettik ve (Chrome, Firefox ve Edge için) ilgili sertifikanın, içinde belirli bir tarayıcı programıyla iptal edilmiş olarak listelenip listelenmediğini kontrol ettik. crt.sh.
| Chrome (macOS) | Chrome (Windows) | Kenar (Windows) | Firefox (Mac) (OCSP açık) | Firefox (Mac) (OCSP kapalı) | Safari (Mac) | |
|---|---|---|---|---|---|---|
| iptal edildi-rsa-dv.ssl.com | İptal edilen | İptal Edilmedi | İptal Edilmedi | İptal edilen | İptal Edilmedi | İptal edilen |
| iptal edildi-rsa-ev.ssl.com | İptal edilen | İptal edilen | İptal edilen | İptal edilen | İptal Edilmedi | İptal edilen |
| iptal edildi - ecc-dv.ssl.com | İptal edilen | İptal Edilmedi | İptal Edilmedi | İptal edilen | İptal Edilmedi | İptal edilen |
| iptal edildi-ecc-ev.ssl.com | İptal edilen | İptal edilen | İptal edilen | İptal edilen | İptal Edilmedi | İptal edilen |
Sonuçların Tartışılması
Krom: Windows'ta, Chrome yanlışlıkla iptal edilen sertifikalardan ikisini (iptal edildi-rsa-dv.ssl.com ve iptal edildi - ecc-dv.ssl.com) geçerli olarak ve diğerleri iptal edildiği gibi. İşletim sisteminde doğrulama denetimini devre dışı bırakmak bu yanıtı değiştirmedi. İlginçtir, dört sertifikanın hiçbiri CRLSet'te iptal edilmiş olarak gösterilmedi crt.sh test sırasında, Chrome'un iptal kontrol süreçleri hakkında başka sorular öneriyor. MacOS'te Chrome, Chrome'un davranışındaki platforma dayalı farklılıkları gösteren dört sertifikanın tümünü iptal edilmiş olarak doğru bir şekilde gösterdi.
Kenar: Görünen Edge yansıtmalı Chrome'un mevcut (Chromium tabanlı) sürümü iptal edildi-rsa-dv.ssl.com ve iptal edildi - ecc-dv.ssl.com geçerli olarak. Chrome gibi Edge de, işletim sisteminde doğrulama kontrolünün etkin olup olmadığına bakılmaksızın aynı sonuçları gösterdi. Dört sertifikadan hiçbiri aşağıdaki listede gösterilmemiştir disallowedcert.stl on crt.sh.
Firefox: OneCRL'nin ara sertifikalara odaklanmasından beklenebileceği gibi, Firefox yalnızca tarayıcının tercihlerinde etkinleştirilen OCSP sorguları ile iptal edilen dört sertifikanın tümünü tanıdı, ancak OCSP sorguları devre dışı bırakıldıysa dördünü de geçerli olarak kabul etti. (Not: İptal edilen bu son varlık sertifikalarının dördü de geçerli, iptal edilmemiş ara ürünlerden verilmiştir.) Chrome'da olduğu gibi, crt.sh OneCRL'de iptal edilen sertifikaların hiçbirini göstermez.
Safari: MacOS'ta Safari, dört sertifikanın tümünü iptal edilmiş olarak doğru bir şekilde tanıdı. crt.sh Apple iptal bilgilerini görüntülemez ve bu belirli sertifikaların Apple tarafından iptal edilmiş olarak listelenip listelenmediğini kontrol etmedik.
Sonuç
Sonuçlar, iptal etmenin masaüstü web tarayıcıları için hala sorunlu bir sorun olduğunu gösteriyor gibi görünüyor (mobil cihazlar tamamen farklı bir dünyayı temsil ediyor, ancak bu başka bir makalenin konusu). Firefox'ta iptal edilen sertifikaları tanımak için çevrimiçi OCSP denetiminin etkinleştirilmesi (yavaş, güvenli olmayan) gerekliyken, Chrome ve Edge, işletim sisteminde iptal denetimi etkinleştirilmiş olsun ya da olmasın Windows'ta iptal edilen iki sertifikayı tanıyamadı.
Web sitesi sahipleri için, çeşitli tarayıcı programlarının iptal edilmiş kök ve ara CA sertifikaları gibi yüksek öncelikli / acil durum olaylarına odaklandığını ve bahçe çeşitliliği olan son varlık sertifikalarının iptallerinin bir fark edilmeden geçeceğini düşünmek akıllıca görünmektedir. süresiz dönem. Bu nedenle, OCSP Zımbalama ve Zımbalama son kullanıcıların son varlık sertifikalarının iptali konusunda doğru bilgi almasını sağlamanın en özel, güvenli ve etkili yolu olduğu görülmektedir.
SSL.com çok çeşitli SSL /TLS sunucu sertifikaları HTTPS web siteleri için.
