ProHoster > ብሎግ > የኢንተርኔት ዜና > ኢንክሪፕት እናድርግ የስረዛ የምስክር ወረቀቶችን ለመፈተሽ ለ OCSP ፕሮቶኮል የሚሰጠውን ድጋፍ እያቆመ ነው።

ኢንክሪፕት እናድርግ የስረዛ የምስክር ወረቀቶችን ለመፈተሽ ለ OCSP ፕሮቶኮል የሚሰጠውን ድጋፍ እያቆመ ነው።

እናመስጥር፣ በህብረተሰቡ ቁጥጥር ስር ያለ እና የምስክር ወረቀቶችን ለሁሉም በነጻ የሚሰጥ ለትርፍ ያልተቋቋመ የምስክር ወረቀት ባለስልጣን የምስክር ወረቀቶችን መሰረዙን ለማረጋገጥ የሚጠቅመውን OCSP (የመስመር ላይ የምስክር ወረቀት ሁኔታ ፕሮቶኮል) ፕሮቶኮልን መደገፍ እንዲያቆም ወስኗል። ከ OCSP ፕሮቶኮል ይልቅ፣ ከ2022 ጀምሮ ባለው እንክሪፕት አገልግሎት የታተመ የምስክር ወረቀት መሻሪያ ዝርዝሮችን (CRL - የምስክር ወረቀት መሻሪያ ዝርዝር) ለመጠቀም ታቅዷል። በሜይ 7፣ 2025 እንመስጥር የ OCSP አድራሻ ማጣቀሻዎችን በተሰጡ የምስክር ወረቀቶች ላይ መጨመርን ያሰናክላል እና የ"OCSP Must Staple" ቅጥያ አጠቃቀምን የሚመለከቱ ጥያቄዎችን ማካሄድ ያቆማል። ኦገስት 6፣ 2025፣ የOCSP ጥያቄ ተቆጣጣሪዎች በአገልጋዮች ላይ ይሰናከላሉ።

የግላዊነት ስጋቶች የOCSP ድጋፍን ለማቋረጡ ምክንያት ሆነው ተጠቅሰዋል። OCSPን መጠቀም የምስክር ወረቀቱን ትክክለኛነት ለማረጋገጥ ደህንነቱ የተጠበቀ ግንኙነት በተቋቋመ ቁጥር የደንበኛው ስርዓት የምስክር ወረቀቱን ላመነጨው የCA OCSP አገልጋይ ጥያቄ ይልካል። በምላሹም አገልጋዩ የተገለጸው የምስክር ወረቀት ሊታመን የሚችል መሆኑን ወይም አለመሆኑን መረጃ ይሰጣል። ችግሩ CA ተጠቃሚው በሚጎበኝበት ጊዜ እና የትኞቹን ድር ጣቢያዎች እንደሚጎበኝ መረጃ የሚቀበለው መሆኑ ነው። የአይፒ አድራሻ, ይህም ሚስጥራዊ የውሂብ መፍሰስ ተደርጎ ሊወሰድ ይችላል። በተጨማሪም፣ OCSPን መጠቀም በጥያቄ ሂደት ውስጥ መዘግየትን ያስከትላል፣ ተጠቃሚው የተረጋገጠ የአውታረ መረብ መዳረሻ እንዲኖረው ይጠይቃል፣ እና በOCSP አገልጋዮች ያልተቋረጠ አሠራር ላይ ጥገኛነትን ይፈጥራል።

የምስክር ወረቀቶችን መሰረዝን በሚፈትሹበት ጊዜ የግላዊነት ስጋቶችን ለመፍታት የOCSP Stapling ቴክኖሎጂ ተዘጋጅቷል። ሀሳቡ በማረጋገጫ ባለስልጣን የተረጋገጡ የOCSP ምላሾች ከደንበኛ ጋር የTLS ግንኙነት በሚደረግበት ጊዜ ድር ጣቢያዎችን በሚያገለግሉ አገልጋዮች ሊተላለፉ ይችላሉ የሚል ነው (የOCSP መረጃ ማስተላለፍ ወደ አገልጋዮች ድረ-ገጾች፣ ይህም የደንበኛው ስርዓት የማረጋገጫ ባለስልጣን OCSP አገልጋይን በቀጥታ የማግኘት አስፈላጊነትን ያስወግዳል፣ የምላሾቹ ትክክለኛነት በማረጋገጫ ባለስልጣን ዲጂታል ፊርማ የተረጋገጠ ነው።

ከOCSP ስቴፕሊንግ በተጨማሪ በእውቅና ማረጋገጫዎች ላይ የተጨመረው "OCSP Must Staple" የሚል ቅጥያ አለ፣ ይህም አሳሾች የኦ.ሲ.ኤስ.ፒ አገልጋዮችን በቀጥታ ከማነጋገር ይልቅ የ OCSP ስታፕሊንግ ቴክኒክን እንዲጠቀሙ እና ጣቢያውን የሚያገለግለው አገልጋይ ካልሆነ የምስክር ወረቀቱ ታማኝ እንዳልሆነ እንዲቆጠር የሚጠይቅ ነው። የተረጋገጠ የ OCSP ምላሽ ይመልሱ። እንደ አለመታደል ሆኖ የ"Must Staple" ቅጥያ በአሳሾች ውስጥ በሰፊው ጥቅም ላይ አይውልም እና የ OCSP ስቴፕሊንግ ቴክኖሎጂ በኤችቲቲፒ አገልጋይ በኩል ድጋፍን ከማንቃት አስፈላጊነት ጋር የተያያዘ ነው (ከ2013 ጀምሮ በ nginx ውስጥ የተደገፈ)።

CRLን በሚጠቀሙበት ጊዜ የምስክር ወረቀት መሻር ማረጋገጥ የሚከናወነው በማረጋገጫ ባለስልጣን የተፈጠሩ ዝርዝሮችን በመጠቀም በአካባቢያዊ ስርዓት ላይ ነው። የዚህ አቀራረብ ጉዳቶች በጣም ትልቅ የወረደው መረጃ መጠን እና በመረጃ አግባብነት ላይ የጊዜ ክፍተት መታየት (ለምሳሌ በፋየርፎክስ ውስጥ መረጃ በየ 6 ሰዓቱ አንድ ጊዜ ይሻሻላል)። የመጠን ችግር በአሳሾች ውስጥ በ CRL ፕሮክሲንግ በኩል በአሳሽ አምራቾች አገልጋዮች ላይ ተፈትቷል - አሳሾቹ መሰረታዊ CRL ያካትታሉ ፣ እሱም በሚሠራበት ጊዜ ከአሁኑ ዝርዝር ጋር ይመሳሰላል (የተቀየረ ውሂብ ብቻ ወደ ደንበኛው ስርዓት ይተላለፋል)። የ CRL ዳታቤዝ መጠንን ለመቀነስ ፕሮባቢሊቲካል Bloom ማጣሪያ መዋቅር ጥቅም ላይ ይውላል፣ ይህም የተሟላውን የሲአርኤል ዳታቤዝ በደንበኛው በኩል በጣም በተጨናነቀ ውክልና ለማስቀመጥ ያስችላል። በፋየርፎክስ ውስጥ CRLite Toolkitን እና በChrome ውስጥ CRLSets በመጠቀም ተመሳሳይ ዘዴ ይተገበራል።

ምንጭ: opennet.ru

በDDoS ጥበቃ፣ VPS VDS አገልጋዮች ለጣቢያዎች አስተማማኝ ማስተናገጃ ይግዙ 🔥 አስተማማኝ የድር ጣቢያ ማስተናገጃ በዲዶኤስ ጥበቃ፣ በቪፒኤስ ቪዲኤስ አገልጋዮች ይግዙ | ProHoster