https://www.opennet.ru/openforum/vsluhforumID3/119471.html Компания Mozilla объявила о начале тестирования в ночных сборках Firefox нового механизма определения отозванных сертификатов - CRLite. CRLite позволяет организовать эффективную проверку отзыва сертификатов по базе данных, размещаемой на системе пользователя. Развиваемая в Mozilla реализация CRLite опубликована под свободной лицензией MPL 2.0. Код для генерации БД и серверные компоненты написаны на Python и Go. Добавленные в Firefox клиентские части для чтения данных из БД подготовлены на языке Rust...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52175<br> https://www.opennet.ru/openforum/vsluhforumID3/119471.html#64 Thu, 23 Jan 2020 12:53:07 GMT В продолжение темы - статистика по эксперименту от Мозиллы . https://blog.mozilla.org/security/2020/01/21/crlite-part-3-speeding-up-secure-browsing<br> https://www.opennet.ru/openforum/vsluhforumID3/119471.html#63 Wed, 15 Jan 2020 07:42:43 GMT &gt; Ну я просто не использую ostp, crtlite тоже можно будет вырубить?<br><br>В Firefox сейчас можно вырубить много что. Даже то, что этот Firefox в конец разломает, и сделает непригодным ни для чего. Так что наверняка да.<br> https://www.opennet.ru/openforum/vsluhforumID3/119471.html#62 Tue, 14 Jan 2020 18:01:04 GMT &gt;&gt; даже 32 (если уж учитывать возможность теста на ложные срабатывания) хеша этих сертификатов.<br>&gt; Но ведь в этом случае, если нашли начало хеша по локальной "урезанной" <br>&gt; базе, нужно будет всё равно послать запрос OCSP и убедиться что <br>&gt; полный хеш всё же совпадает.<br><br>Не-не-не. Я же специально написал об "учитывании возможности ложных срабатываний". <br>Т.е. сделать, как в сабже (только "в профиль") -- иметь доп. список (в новости: "layer") для ложных срабатываний.<br>Или использовать вариабельное кол. бит, достаточное для избежания коллизий. <br>Там, на первый взгляд, проблема будет только в том, что в давно не обновленном списке какой нибудь новый (валидный) сертификат может попасть под ложное срабатывание (но опять же, можно использовать определенный минимум в те же 32 бит).<br><br>Ну или взять 64/128 (хотя и тут лучше иметь этот самый доп. список) -- все равно через десяток-другой обновлений выходим по траффику в "плюс".<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/119471.html#61 Tue, 14 Jan 2020 17:29:22 GMT &gt; даже 32 (если уж учитывать возможность теста на ложные срабатывания) хеша этих сертификатов.<br><br>Но ведь в этом случае, если нашли начало хеша по локальной "урезанной" базе, нужно будет всё равно послать запрос OCSP и убедиться что полный хеш всё же совпадает.<br><br>Это конечно, в целом, сокращает количество запросов OCSP, но проблему атак на блокирование OCSP не решает (описана в новости).<br>Так же, небольшая часть данных всё равно будет утекать (по отозванным и "похожим" сертификатам).<br><br>Если же дополнительную проверку по OCSP не делать и верить урезанному списку наслово, то возможны ложные срабатывания. Будет забавно если кто-нибудь этим воспользуется и сделает сертификат с началом хеша как у google.com, а потом отзовёт его.<br> https://www.opennet.ru/openforum/vsluhforumID3/119471.html#60 Tue, 14 Jan 2020 10:18:14 GMT &gt;Фильтр Блума может использовать любой объём памяти<br><br>То, что надо!<br>Готовся вечно покупать оперативку, потому что для Мозиллы бесконечность не предел! &#129418;<br> https://www.opennet.ru/openforum/vsluhforumID3/119471.html#59 Tue, 14 Jan 2020 07:06:30 GMT Ну зачем же забьет? Служба - она и опасна, и трудна. Очередного нацпредателя на бутылочку насадит, потом неспешно направится собирать дань с собирателей дани с ларьков, а тот пусть пока посидит, подумает, как точнее описать свои мыслепреступления в протоколе.<br><br>И Родине сплошная польза, и ее верным столпам уважение.<br><br>А что холопам жрать станет нечего - ну так они туже затянут пояса и еще теснее сплотятся вокруг Царя-Фюрера. Кто бы им к тому времени ни стал.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/119471.html#58 Tue, 14 Jan 2020 06:58:31 GMT нет. Что продает _вам_ letshitcrypt? Правильно - ничего.<br>А это значит - он продает - вас.<br><br>Что продавал вам startssl? Правильно - премиум сервисы для тех, кто привык им пользоваться и кому они на самом деле были нужны. <br><br>Почему при этом жив и здравствует wosign? Правильно - потому что мгновенно понял урок и ликвидировал на корню свою конкуренцию летсшиткрипте - поэтому его оставили в покое.<br><br>В результате - сколько там - 90% ocsp запросов приземлялись на сервер такой нужной и полезной компании trendmicro.<br><br>Какая муха их сегодня укусила, что они вдруг решили сами же прикрыть результат всей своей деятельности по развалу структуры множественных trusted ca - пока неочевидно.<br> https://www.opennet.ru/openforum/vsluhforumID3/119471.html#57 Tue, 14 Jan 2020 05:56:36 GMT Ну я просто не использую ostp, crtlite тоже можно будет вырубить?<br> https://www.opennet.ru/openforum/vsluhforumID3/119471.html#56 Tue, 14 Jan 2020 05:33:41 GMT А когда благодаря всему этому экономика ухнет и станет нечего или не на что жрать - догадайтесь, кто в первых рядах забьет на национал-чтототам и пойдет ларьки крышевать? :)<br>