Mozilla führt nach mehreren Jahren in der Entwicklung mit Firefox 142 ein neues System ein, das bisherige Probleme beim sicheren Widerruf von Zertifikaten lösen soll.
Zertifikate in Browsern
Zertifikate von vertrauenswürdigen Organisationen werden in Browsern gespeichert, um etwa Firefox zu beweisen, dass die per HTTPS besuchten Webseiten die sind, die sie vorgeben zu sein, und damit sich niemand einfach unbemerkt in die Kommunikation zwischen Anwender und Webseite einklinkt und diese belauschen oder manipulieren kann.
Das funktioniert in der Regel gut, aber wie überall können auch hier Fehler auftreten. Ein Zertifikat kann an die falsche Partei ausgestellt oder durch einen böswilligen Akteur kompromittiert werden. Dann muss dieses Zertifikat widerrufen werden, damit die Browser wissen, dass es nicht mehr vertrauenswürdig ist.
Schwieriger Widerruf
Die bestehenden Methoden, Browser über solche Zertifikate zu informieren, unterlagen bisher technischen und praktischen Einschränkungen. Eine wichtige Rolle dabei spielt OCSP (Online Certificate Status Protocol), ein Protokoll zur Überprüfung des Status hauptsächlich von SSL/TLS-Zertifikaten, die für die sichere Kommunikation im Internet verwendet werden. Es dient dazu, festzustellen, ob ein Zertifikat noch gültig ist oder ob es widerrufen wurde, und ist eine Alternative zu Zertifikatssperrlisten (CRLs).
OCSP und CRL
Browser mussten oft bei jeder HTTPS-Verbindung den Status eines Zertifikats online bei der Zertifizierungsstelle abfragen. Das ist nicht nur langsam, sondern stellt auch ein Datenschutzrisiko dar, da die Anfragen den Surfverlauf verraten konnten. Zudem unterstützen viele Server OCSP nicht zuverlässig oder blockieren OCSP-Anfragen, was dazu führt, dass Browser in sogenannten Soft-Fail-Modus weitermachen und widerrufene Zertifikate trotzdem akzeptieren. Andere Verfahren wie Zertifikats-Widerrufslisten (CRLs) sind meist zu groß und schwer zu aktualisieren, was die Verfügbarkeit und Aktualität der Daten beeinträchtigt.
CRLite arbeitet lokal
Diese Probleme führten zu einer unzureichenden und ineffizienten Zertifikats-Widerrufsprüfung, die Nutzer, Sicherheitsanbieter und Webseitenbetreiber vor Herausforderungen stellte. Mozilla versucht mit Technologien wie dem jetzt vorgestellten CRLite, diese Probleme zu lösen, indem sie eine umfassende, lokale und datenschutzfreundliche Überprüfung der Zertifikatsgültigkeit ermöglichen.
Im Unterschied zur bisherigen Verfahrensweise arbeitet CRLite ausschließlich lokal, ohne Anfragen an externe Dienste. Damit entfällt die Notwendigkeit von Online-Sperrprüfungen, die sowohl das Laden von Seiten verlangsamen als auch die besuchten Webseiten an Dritte weitergeben können. CRLite ist effizient genug, um alle widerrufenen Zertifikate lokal zu speichern, und benötigt nur 300 KB pro Tag an kontinuierlichen Aktualisierungen, um auf dem neuesten Stand zu bleiben.
Technische Details der Umsetzung von CRLite mittels Algorithmen und innovativen Techniken sind einem Mozilla-Hacks-Beitrag des leitenden Entwicklers John Schanck zu entnehmen.
Bild: per ChatGPT erstellt
