شركة موزيلا
التحقق من الشهادة باستخدام خدمات خارجية بناءً على البروتوكول الذي لا يزال مستخدمًا
لحظر الشهادات التي تم اختراقها وإلغائها من قبل سلطات التصديق، استخدم Firefox قائمة سوداء مركزية منذ عام 2015
افتراضيًا، إذا كان من المستحيل التحقق عبر OCSP، فإن المتصفح يعتبر الشهادة صالحة. قد تكون الخدمة غير متاحة بسبب مشاكل في الشبكة والقيود المفروضة على الشبكات الداخلية، أو قد يتم حظرها من قبل المهاجمين - لتجاوز فحص OCSP أثناء هجوم MITM، ما عليك سوى حظر الوصول إلى خدمة الفحص. تم تطبيق تقنية لمنع مثل هذه الهجمات جزئيًا
يتيح لك CRLite دمج المعلومات الكاملة حول جميع الشهادات الملغاة في بنية يمكن تحديثها بسهولة، بحجم 1 ميجابايت فقط، مما يجعل من الممكن تخزين قاعدة بيانات CRL كاملة على جانب العميل.
سيتمكن المتصفح من مزامنة نسخته من البيانات المتعلقة بالشهادات الملغاة يوميًا، وستكون قاعدة البيانات هذه متاحة تحت أي ظرف من الظروف.
يجمع CRLite المعلومات من
للتخلص من النتائج الإيجابية الخاطئة، قدم CRLite مستويات تصفية تصحيحية إضافية. بعد إنشاء الهيكل، يتم البحث في جميع سجلات المصدر ويتم تحديد أي نتائج إيجابية كاذبة. واستنادًا إلى نتائج هذا الفحص، يتم إنشاء بنية إضافية تتوالى على البنية الأولى وتقوم بتصحيح النتائج الإيجابية الخاطئة الناتجة. يتم تكرار العملية حتى يتم التخلص تمامًا من النتائج الإيجابية الخاطئة أثناء فحص التحكم. عادةً ما يكون إنشاء 7-10 طبقات كافيًا لتغطية جميع البيانات بالكامل. نظرًا لأن حالة قاعدة البيانات، بسبب المزامنة الدورية، متخلفة قليلاً عن الحالة الحالية لـ CRL، يتم التحقق من الشهادات الجديدة الصادرة بعد التحديث الأخير لقاعدة بيانات CRLite باستخدام بروتوكول OCSP، بما في ذلك استخدام
باستخدام مرشحات Bloom، تم تجميع شريحة المعلومات لشهر ديسمبر من WebPKI، والتي تغطي 100 مليون شهادة نشطة و750 ألف شهادة ملغاة، في هيكل يبلغ حجمه 1.3 ميجابايت. عملية إنشاء البنية كثيفة الاستخدام للموارد، ولكن يتم إجراؤها على خادم Mozilla ويتم منح المستخدم تحديثًا جاهزًا. على سبيل المثال، في النموذج الثنائي، تتطلب البيانات المصدر المستخدمة أثناء الإنشاء حوالي 16 جيجابايت من الذاكرة عند تخزينها في Redis DBMS، وفي النموذج السداسي العشري، يستغرق تفريغ جميع الأرقام التسلسلية للشهادات حوالي 6.7 جيجابايت. تستغرق عملية تجميع كافة الشهادات الملغاة والنشطة حوالي 40 دقيقة، وتستغرق عملية إنشاء بنية مجمعة استنادًا إلى مرشح Bloom 20 دقيقة أخرى.
تتأكد Mozilla حاليًا من تحديث قاعدة بيانات CRLite أربع مرات يوميًا (لا يتم تسليم جميع التحديثات للعملاء). لم يتم تنفيذ إنشاء تحديثات دلتا بعد - استخدام bsdiff4، المستخدم لإنشاء تحديثات دلتا للإصدارات، لا يوفر كفاءة كافية لـ CRLite والتحديثات كبيرة بشكل غير معقول. وللتخلص من هذا العيب، من المخطط إعادة صياغة تنسيق بنية التخزين للتخلص من عمليات إعادة البناء وحذف الطبقات غير الضرورية.
يعمل CRLite حاليًا في Firefox في الوضع السلبي ويستخدم بالتوازي مع OCSP لتجميع الإحصائيات حول العملية الصحيحة. يمكن تحويل CRLite إلى وضع الفحص الرئيسي؛ للقيام بذلك، تحتاج إلى تعيين المعلمةsecurity.pki.crlite_mode = 2 في about:config.
المصدر: opennet.ru