USD 76.47 ЕВРО 90.41

Интернет замедляется из-за Heartbleed

Экономика

Миллионы сертификатов SSL должны быть отозваны и переизданы. Интернет и Инфраструктура открытых ключей (PKI — Public Key Infrastructure) не предназначены для этого. Пробки обязательно будут.

Предупреждение: Внеплановые работы замедлят трафик в Интернете на неопределенный срок. Запланируйте дополнительное время для общения.

Много неприятностей может случиться из-за Heartbleed. Одна из них, влияющая почти на всех, является общим замедление производительности, в связи с необходимостью отозвать и переоформить миллионы SSL/TLS цифровых сертификатов и ключей. Объем таких отзывов увеличивается изо дня в день со времени объявления миру о Heartbleed.
 
Исследовательская фирма Netcraft, которая наблюдает за веб-сайтами и сертификатами по всему миру, говорит о том, что количество аннулированных сертификатов около 80000 и процесс только начался. Очень большие SSL-провайдеры, как Akamai, планируют массовое аннулирование сертификатов клиентов.

Сертификаты SSL/TLS используются субъектами интернета, чтобы доказать свою идентичность друг другу. Они используются гораздо больше, чем безопасные веб-сайты: многие виртуальные частные сети полагаются на SSL для клиентов и серверов, чтобы доказать идентичность друг другу.

Когда сертификат становится ненадежным и отзывается, уникальный идентификатор сертификата добавляется в файл с именем CRL (Список отозванных сертификатов). Каждый сертификат содержит поле для конкретного CRL, чтобы проверить – не отозван ли он.
 
Существуют две проблемы с этим процессом: списки CRL могут вырасти до огромных размеров, что создает проблемы с производительностью как клиента, так и сервера; многие клиенты не очень хорошо проверяют отзыв сертификата. Рассмотрим изображение рядом —  это меню настроек Google Chrome: по умолчанию, может быть из-за увеличения производительности, Chrome не проверяет аннулирование сертификатов. На самом деле, это лишь две из проблем с проверкой отзыва сертификата. В реальном мире это не получается сделать по многим другим причинам.

На приведенном ниже графике от Internet Storm Center показан рост CRL. Не ясно, показывает ли график «Количество CRL шестнадцати различных СА (Certification authority — Центров сертификации) с 1 апреля 2014 года», размер списков отзыва сертификатов или их количество, или это показатель роста в день. Но он, безусловно, растет. Netcraft говорит, что если все сертификаты, подверженные Heartbleed должны быть отменены, CRL вырастет примерно на 35%.


 
Из-за ограничений списков отзыва сертификатов CRL, был разработан новый стандарт под названием OCSP (Протокол статуса сертификатов — Online Certificate Status Protocol), так что клиент может проверить с помощью Центра Сертификатов статус одного сертификата. В обычных случаях, когда проверка осуществляются по одному, такой подход экономит пропускную способность сети. Во то время, когда производится большое количество аннулирований, использование OCSP может оказать большую нагрузку на системы CA. Примечание: Firefox больше не поддерживает списки отзыва сертификатов CRL вообще, полагаясь исключительно на OCSP.