nach oben

Erschienen in:

2016 | OriginalPaper | Buchkapitel

Measuring the Latency and Pervasiveness of TLS Certificate Revocation

verfasst von : Liang Zhu, Johanna Amann, John Heidemann

Erschienen in: Passive and Active Measurement

Verlag: Springer International Publishing

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Aus

Abstract

Today, Transport-Layer Security (TLS) is the bedrock of Internet security for the web and web-derived applications. TLS depends on the X.509 Public Key Infrastructure (PKI) to authenticate endpoint identity. An essential part of a PKI is the ability to quickly revoke certificates, for example, after a key compromise. Today the Online Certificate Status Protocol (OCSP) is the most common way to quickly distribute revocation information. However, prior and current concerns about OCSP latency and privacy raise questions about its use. We examine OCSP using passive network monitoring of live traffic at the Internet uplink of a large research university and verify the results using active scans. Our measurements show that the median latency of OCSP queries is quite good: only 20 ms today, much less than the 291 ms observed in 2012. This improvement is because content delivery networks (CDNs) serve most OCSP traffic today; our measurements show 94 % of queries are served by CDNs. We also show that OCSP use is ubiquitous today: it is used by all popular web browsers, as well as important non-web applications such as MS-Windows code signing.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 390 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Maschinenbau + Werkstoffe

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Vorheriges Kapitel Exploring Tor’s Activity Through Long-Term Passive TLS Traffic Measurement

Nächstes Kapitel Tracking Personal Identifiers Across the Web

Network security services. https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS

The Bro network security monitor. https://www.bro.org

Project Sonar: IPv4 SSL certificates, August 2015. https://scans.io/study/sonar.ssl

Akhawe, D., Amann, J., Vallentin, M., Sommer, R.: Here’s my cert, so trust me, maybe? Understanding TLS errors on the web. In: WWW, May 2013

Arthur, C.: DigiNotar SSL certificate hack amounts to cyberwar, saysexpert, September 2011. http://www.theguardian.com/technology/2011/sep/05/diginotar-certificate-hack-cyberwar

Bhat, S.: Gmail users in Iran hit by MITM attacks, August 2011. http://techie-buzz.com/tech-news/gmail-iran-hit-mitm.html

Comodo. Comodo fraud incident, March 2011. https://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html

Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., Polk, W.: Internet X.509 public key infrastructure certificate and certificate revocation list (CRL) profile. RFC 5280, May 2008

Durumeric, Z., Kasten, J., Adrian, D., Halderman, J.A., Bailey, M., Li, F., Weaver, N., Amann, J., Beekman, J., Payer, M., Paxson, V.: The matter of Heartbleed. In: ACM IMC (2014)

10.

Holz, R., Braun, L., Kammenhuber, N., Carle, G.: The SSL landscape: a thorough analysis of the X.509 PKI using active and passive measurements. In: ACM SIGCOMM (2011)

11.

Langley, A.: Revocation checking and Chrome’s CRL, February 2012. https://www.imperialviolet.org/2012/02/05/crlsets.html

12.

Liu, Y., Tome, W., Zhang, L., Choffnes, D., Levin, D., Maggs, B., Mislove, A., Schulman, A., Wilson, C.: An end-to-end measurement of certificate revocation in the web’s PKI. In: ACM IMC (2015)

13.

Netcraft. Certificate revocation and the performance of OCSP. http://news.netcraft.com/archives/2013/04/16/certificate-revocation-and-the-performance-of-ocsp.html

14.

Netcraft. OCSP server performance in April 2013. http://news.netcraft.com/archives/2013/05/23/ocsp-server-performance-in-april-2013.html

15.

Paxson, V.: Bro: a system for detecting network intruders in real-time. Comput. Netw. 31(23–24), 2435–2463 (1999)CrossRef

16.

Perl, H., Fahl, S., Smith, M.: You wont be needing these any more: on removing unused certificates from trust stores. In: FC (2014)

17.

Pettersen, Y.: The transport layer security (TLS) multiple certificate status request extension. RFC 6961 (2013)

18.

Santesson, S., Myers, M., Ankney, R., Malpani, A., Galperin, S., Adams, C.: X.509 internet public key infrastructure online certificate status protocol - OCSP. RFC 6960, June 2013

19.

Schulman, A., Levin, D., Spring, N.: RevCast: fast, private certificate revocation over FM radio. In: ACM CCS (2014)

20.

Stark, E., Huang, L.-S., Israni, D., Jackson, C., Boneh, D.: The case for prefetching and prevalidating TLS server certificates. In: NDSS (2012)

21.

Topalovic, E., Saeta, B., Huang, L.-S., Jackson, C., Boneh, D.: Towards short-lived certificates. In: W2SPP (2012)

22.

Wikipedia. Code signing. https://en.wikipedia.org/wiki/Code_signing

23.

Yilek, S., Rescorla, E., Shacham, H., Enright, B., Savage, S.: When private keys are public: results from the 2008 Debian OpenSSL vulnerability. In: ACM IMC (2009)

24.

Zhang, L., Choffnes, D., Levin, D., Dumitras, T., Mislove, A., Schulman, A., Wilson, C.: Analysis of SSL certificate reissues and revocations in the wake of heartbleed. In: ACM IMC (2014)

Titel: Measuring the Latency and Pervasiveness of TLS Certificate Revocation
verfasst von: Liang Zhu
Johanna Amann
John Heidemann
Verlag: Springer International Publishing
Buch: Passive and Active Measurement
Print ISBN: 978-3-319-30504-2

Electronic ISBN: 978-3-319-30505-9

Copyright-Jahr: 2016
DOI: https://doi.org/10.1007/978-3-319-30505-9_2

Neuer Inhalt

Bildnachweise

VDI-Icon, Profil Icon, inhalt2, Springer Professional Modul/© Springer Fachmedien Wiesbaden GmbH, Nachhaltigkeitsaward Key Visual/© Cometis AG/Global ESG Monitor | Daniel Rupp | Generiert mit KI, Search Icon, Banner Hanser, Arbeitszeit/© granata68 / Fotolia, E-Autos im Fuhrpark: Lohnt sich das noch?/© Petair / stock.adobe.com, Kryptowährungen/© gopixa / Getty Images / iStock, Zeitschrift Wissensmanagement Cover, PatentFit-Logo/© Springer Fachmedien Wiesbaden GmbH, Sustainibility Finance/© Robert Kneschke / stock.adobe.com / Springer Fachmedien Wiesbaden GmbH, Zukunftswerkstatt Sales Excellence 2024/© AndreyPopov / Getty Images / iStock, 2023_Antrieb/© supervisuell

Springer Professional

Abstract

Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Springer Professional "Technik"

Springer Professional "Wirtschaft"

Neuer Inhalt

Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.

Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.