Các trình duyệt xử lý chứng chỉ SSL / TLS bị thu hồi như thế nào?

Kiểm tra trạng thái của chứng chỉ SSL / TLS của các trang web HTTPS là một việc vẫn đang diễn ra trong bảo mật web. Trừ khi máy chủ được định cấu hình để sử dụng OCSP Stapling , việc kiểm tra thu hồi trực tuyến bằng trình duyệt web vừa chậm vừa ảnh hưởng đến quyền riêng tư. Vì các truy vấn OCSP online thường xuyên bị lỗi và không thể thực hiện được trong một số trường hợp (chẳng hạn như với các cổng bị khóa), các trình duyệt thường triển khai kiểm tra OCSP ở chế độ “lỗi mềm”, khiến nó không hiệu quả trong việc ngăn chặn kẻ tấn công được xác định.

Do vậy ở bài này mình sẽ cung cấp tóm tắt về quy trình kiểm tra xác thực SSL bởi các trình duyệt như (Chrome , Firefox , Safari và Edge).

1. Google Chorme

Chrome dựa vào CRLSets để kiểm tra việc thu hồi. CRLSet chỉ đơn giản là một danh sách các chứng chỉ đã bị thu hồi được đẩy đến trình duyệt dưới dạng bản cập nhật phần mềm. Theo trang web Chromium Projects , các quy trình mà Google tạo CRLSets là độc quyền.

Bạn có thể kiểm tra phiên bản CRLSet hiện được cài đặt trong một phiên bản của Chrome bằng cách điều hướng đến chrome://components/:

Lưu ý: Trình duyệt Opera dựa trên Chromium cũng sử dụng CRLsets để kiểm tra việc thu hồi. Bạn có thể kiểm tra phiên bản đã cài đặt bằng cách điều hướng đến opera://components.”

2. Mozilla Firefox

Giống như Google, Mozilla duy trì một danh sách tập trung các chứng chỉ bị thu hồi, được gọi là OneCRL . OneCRL là danh sách các chứng chỉ trung gian đã bị CA thu hồi trong chương trình gốc của Mozilla và được chuyển đến người dùng Firefox trong các bản cập nhật ứng dụng.

Không giống như Chrome, cài đặt mặc định của Firefox cũng truy vấn trình phản hồi OCSP để xác nhận tính hợp lệ của chứng chỉ SSL / TLS. (Bạn có thể thay đổi cài đặt này trong tùy chọn bảo mật của Firefox.)

Tuy nhiên, vì lỗi truy vấn OCSP rất phổ biến, Firefox (giống như các trình duyệt khác) thực hiện chính sách “lỗi mềm”. Nếu muốn, bạn có thể yêu cầu kiểm tra OCSP nghiêm ngặt bằng cách điều hướng đến about:configvà chuyển security.OCSP.requiresang true.

3. Apple Safari

Apple thu thập thông tin thu hồi chứng chỉ từ các CA được tin cậy trên thiết bị của mình và tổng hợp tất cả thành một gói duy nhất được phần mềm khách của Apple truy xuất định kỳ

Khi ứng dụng khách gặp chứng chỉ được hiển thị trong danh sách của Apple, nó sẽ thực hiện kiểm tra OCSP để xác nhận rằng trên thực tế, chứng chỉ đã bị thu hồi. Việc kiểm tra OCSP trực tuyến chỉ được thực hiện trong trường hợp các chứng chỉ mà Apple cho rằng đã bị thu hồi; các chứng chỉ không được liệt kê trong gói được truy xuất từ ​​Apple sẽ không được chọn.

Một liên kết đến danh sách thu hồi của Apple và mã để phân tích nó có sẵn tại đây .

4. Microsoft Edge

Windows duy trì danh sách các chứng chỉ bị thu hồi hoặc nằm trong danh sách đen trong một tệp được gọi disallowedcert.stl.

Giống như Firefox, Windows được thiết lập để kiểm tra việc thu hồi chứng chỉ theo mặc định. Có thể xem và thay đổi cài đặt này trong bảng điều khiển Thuộc tính Internet :

Ngoài ra mình cũng có một bảng so sánh nhanh giữa các trình duyệt:

bình luận

Leave a Comment