ሞዚላ ኩባንያ በምሽት የፋየርፎክስ ግንባታዎች ሙከራ ሲጀመር የተሻሩ የምስክር ወረቀቶችን ለማግኘት አዲስ ዘዴ - . CRLite በተጠቃሚው ስርዓት ላይ በተስተናገደ የውሂብ ጎታ ላይ ውጤታማ የምስክር ወረቀት መሻሪያን እንዲያደራጁ ይፈቅድልዎታል። የሞዚላ CRLite ትግበራ በነጻ MPL 2.0 ፍቃድ ስር። የመረጃ ቋቱን እና የአገልጋይ ክፍሎችን የማመንጨት ኮድ ተጽፏል እና ሂድ. የውሂብ ጎታውን ለማንበብ ወደ ፋየርፎክስ የተጨመሩ የደንበኛ ክፍሎች በዝገት ቋንቋ።
አሁንም ጥቅም ላይ በሚውለው ፕሮቶኮል ላይ በመመስረት የውጭ አገልግሎቶችን በመጠቀም የምስክር ወረቀት ማረጋገጫ (የመስመር ላይ ሰርተፍኬት ሁኔታ ፕሮቶኮል) የተረጋገጠ የአውታረ መረብ መዳረሻን ይፈልጋል፣ በጥያቄ ሂደት ውስጥ ከፍተኛ መዘግየትን ያስከትላል (በአማካይ 350 ሚሴ) እና ሚስጥራዊነትን በማረጋገጥ ላይ ችግር አለበት (ለጥያቄዎች ምላሽ የሚሰጡ የOCSP አገልጋዮች ስለ ልዩ የምስክር ወረቀቶች መረጃ ይቀበላሉ ፣ ይህም ምን እንደሆነ ለመገምገም ሊያገለግል ይችላል) ተጠቃሚው የሚከፍትባቸው ጣቢያዎች)። እንዲሁም ከዝርዝሮች አንጻር የአካባቢ ቁጥጥር እድል አለ (የምስክር ወረቀት መሻሪያ ዝርዝር), ነገር ግን የዚህ ዘዴ ጉዳቱ በጣም ትልቅ የወረደው ውሂብ መጠን ነው - በአሁኑ ጊዜ የተሻሩ የምስክር ወረቀቶች የውሂብ ጎታ 300 ሜባ ያህል ይይዛል እና እድገቱ ይቀጥላል.
በእውቅና ማረጋገጫ ባለስልጣናት የተበላሹ እና የተሻሩ የምስክር ወረቀቶችን ለማገድ ፋየርፎክስ ከ2015 ጀምሮ የተማከለ ጥቁር መዝገብ ተጠቅሟል። ከአገልግሎት ጥሪ ጋር በማጣመር ሊሆኑ የሚችሉ ጎጂ ድርጊቶችን ለመለየት. OneCRL፣ እንደ በ Chrome ውስጥ የCRL ዝርዝሮችን ከእውቅና ማረጋገጫ ባለስልጣናት የሚያጠቃልል እና የተሻሩ የምስክር ወረቀቶችን ለመፈተሽ አንድ የተማከለ የኦ.ሲ.ኤስ.ፒ አገልግሎት ይሰጣል፣ ይህም ጥያቄዎችን በቀጥታ ወደ የምስክር ወረቀት ባለስልጣኖች ላለመላክ ያስችላል። የኦንላይን ሰርተፍኬት ማረጋገጫ አገልግሎትን አስተማማኝነት ለማሻሻል ብዙ ስራዎች ቢሰሩም የቴሌሜትሪ መረጃ እንደሚያሳየው ከ 7% በላይ የኦ.ሲ.ኤስ.ፒ ጥያቄዎች ጊዜ ያለፈባቸው (ከጥቂት አመታት በፊት ይህ አሃዝ 15%)።
በነባሪነት፣ በ OCSP በኩል ማረጋገጥ የማይቻል ከሆነ አሳሹ የእውቅና ማረጋገጫውን ትክክለኛ እንደሆነ አድርጎ ይቆጥረዋል። አገልግሎቱ በኔትወርክ ችግሮች እና በውስጥ ኔትወርኮች ላይ በሚደረጉ ገደቦች ምክንያት ላይገኝ ይችላል ወይም በአጥቂዎች ታግዷል - በ MITM ጥቃት ወቅት የኦ.ሲ.ኤስ.ፒ. ቼክን ለማለፍ በቀላሉ የቼክ አገልግሎትን ማገድ። በከፊል እንደዚህ አይነት ጥቃቶችን ለመከላከል አንድ ዘዴ ተተግብሯል , ይህም የ OCSP የመዳረሻ ስህተት ወይም የ OCSP አለመገኘትን እንደ ችግር በምስክር ወረቀቱ ላይ እንዲመለከቱ ያስችልዎታል, ነገር ግን ይህ ባህሪ አማራጭ ነው እና የምስክር ወረቀቱ ልዩ ምዝገባ ያስፈልገዋል.
CRLite ስለ ሁሉም የተሻሩ ሰርተፊኬቶች የተሟላ መረጃ በቀላሉ ወደ ተዘመነ መዋቅር እንዲያዋህዱ ይፈቅድልዎታል፣ መጠኑ 1 ሜባ ብቻ ነው፣ ይህም የተሟላ የሲአርኤል ዳታቤዝ በደንበኛው በኩል እንዲያከማች ያደርገዋል።
አሳሹ በየቀኑ ስለተሻሩ የምስክር ወረቀቶች የውሂብ ቅጂውን ማመሳሰል ይችላል፣ እና ይህ ዳታቤዝ በማንኛውም ሁኔታ ይገኛል።
CRLite ከ መረጃ ያጣምራል። , የሁሉም የተሰጡ እና የተሻሩ የምስክር ወረቀቶች የህዝብ መዝገብ እና በበይነመረብ ላይ የፍተሻ ሰርተፊኬቶች ውጤቶች (የተለያዩ የ CRL የምስክር ወረቀት ባለስልጣኖች ዝርዝሮች ተሰብስበዋል እና ስለ ሁሉም ታዋቂ የምስክር ወረቀቶች መረጃ ተሰብስቧል)። መረጃው በ cascading በመጠቀም የታሸገ ነው። , የጎደለውን አካል በሐሰት ለመለየት የሚያስችል ፕሮባቢሊቲ መዋቅር ነገር ግን አሁን ያለውን ኤለመንት መተውን አያካትትም (ማለትም ከተወሰነ ዕድል ጋር ለትክክለኛው የምስክር ወረቀት የውሸት አወንታዊ ሊሆን ይችላል, ነገር ግን የተሻሩ የምስክር ወረቀቶች ተለይተው ይታወቃሉ).
የውሸት አወንታዊ ውጤቶችን ለማስወገድ CRLite ተጨማሪ የማስተካከያ ማጣሪያ ደረጃዎችን አስተዋውቋል። አወቃቀሩን ካመነጨ በኋላ, ሁሉም የመነሻ መዝገቦች ይፈለጋሉ እና ማንኛውም የውሸት አወንታዊ ነገሮች ተለይተው ይታወቃሉ. በዚህ ቼክ ውጤቶች ላይ በመመርኮዝ, አንድ ተጨማሪ መዋቅር ይፈጠራል, እሱም ወደ መጀመሪያው ተዘርግቷል እና የውሸት ውጤቶችን ያስተካክላል. የቁጥጥር ቼክ ሙሉ በሙሉ እስኪወገድ ድረስ ክዋኔው ይደገማል. በተለምዶ ሁሉንም መረጃዎች ሙሉ በሙሉ ለመሸፈን 7-10 ንብርብሮችን መፍጠር በቂ ነው. የመረጃ ቋቱ ሁኔታ ከጊዜ ወደ ጊዜ በማመሳሰል ምክንያት ከሲአርኤል ሁኔታ ትንሽ ወደኋላ ስለሚቀር ፣የ CRLite ዳታቤዝ የመጨረሻ ዝመና በኋላ የተሰጡ አዳዲስ የምስክር ወረቀቶችን መመርመር የሚከናወነው በ OCSP ፕሮቶኮል በመጠቀም ነው ፣ (በማረጋገጫ ባለስልጣን የተረጋገጠ የ OCSP ምላሽ TLS ግንኙነት ሲደራደር ጣቢያውን በሚያገለግል አገልጋይ ይተላለፋል)።
Bloom ማጣሪያዎችን በመጠቀም 100 ሚሊዮን ንቁ ሰርተፊኬቶችን እና 750 ሺህ የተሻሩ ሰርተፊኬቶችን የሚሸፍነው የታህሳስ ዲሴምበር ከ WebPKI መረጃ ቁራጭ 1.3 ሜባ በሆነ መዋቅር ውስጥ መጠቅለል ችሏል። የመዋቅር የማመንጨት ሂደት ብዙ ሀብትን የሚጠይቅ ነው፣ ነገር ግን በሞዚላ አገልጋይ ላይ ይከናወናል እና ተጠቃሚው ዝግጁ የሆነ ዝመናን ይሰጠዋል ። ለምሳሌ፣ በሁለትዮሽ መልክ፣ በማመንጨት ወቅት ጥቅም ላይ የዋለው የምንጭ መረጃ በሬዲስ ዲቢኤምኤስ ውስጥ ሲከማች 16 ጊባ ያህል ማህደረ ትውስታን ይፈልጋል፣ እና በሄክሳዴሲማል መልክ የሁሉም የምስክር ወረቀት መለያ ቁጥሮች 6.7 ጊባ ይወስዳል። ሁሉንም የተሻሩ እና ንቁ ሰርተፊኬቶችን የማዋሃድ ሂደት 40 ደቂቃ ያህል ይወስዳል፣ እና በብሎም ማጣሪያ ላይ የተመሰረተ የታሸገ መዋቅር የማመንጨት ሂደት ሌላ 20 ደቂቃ ይወስዳል።
ሞዚላ በአሁኑ ጊዜ የCRLite ዳታቤዝ በቀን አራት ጊዜ መዘመኑን ያረጋግጣል (ሁሉም ዝመናዎች ለደንበኞች አይደርሱም)። የዴልታ ዝመናዎችን ማመንጨት ገና አልተተገበረም - ለልቀቶች የዴልታ ዝመናዎችን ለመፍጠር ጥቅም ላይ የሚውለው bsdiff4 መጠቀም ለ CRLite በቂ ቅልጥፍናን አይሰጥም እና ዝመናዎቹ ያለምክንያት ትልቅ ናቸው። ይህንን መሰናክል ለማስወገድ አላስፈላጊ መልሶ መገንባትን እና የንብርብሮችን መሰረዝን ለማስወገድ የማከማቻ መዋቅሩን ቅርጸት እንደገና ለመስራት ታቅዷል።
CRLite በአሁኑ ጊዜ በፋየርፎክስ ውስጥ በፓሲቭ ሞድ ውስጥ ይሰራል እና ከ OCSP ጋር በትይዩ ስለ ትክክለኛው አሰራር ስታቲስቲክስ ለማጠራቀም ጥቅም ላይ ይውላል። CRLite ወደ ዋና ቅኝት ሁነታ መቀየር ይቻላል፤ ይህንን ለማድረግ ፓራሜትሩን security.pki.crlite_mode = 2 በ about: config ማዘጋጀት ያስፈልግዎታል።
ምንጭ: opennet.ru