Mozilla şirkəti Firefox-un gecə qurğularında ləğv edilmiş sertifikatları aşkar etmək üçün yeni mexanizmin sınaqdan keçirilməsinə başlanılması haqqında - . CRLite sizə istifadəçi sistemində yerləşdirilən verilənlər bazası ilə effektiv sertifikatın ləğvi yoxlamasını təşkil etməyə imkan verir. Mozilla-nın CRLite tətbiqi pulsuz MPL 2.0 lisenziyası altında. Verilənlər bazası və server komponentləri yaratmaq üçün kod yazılır və Get. Verilənlər bazasından məlumatları oxumaq üçün Firefox-a müştəri hissələri əlavə edildi Rust dilində.
Hələ də istifadə olunan protokol əsasında xarici xidmətlərdən istifadə edərək sertifikatın yoxlanılması (Onlayn Sertifikat Vəziyyəti Protokolu) zəmanətli şəbəkəyə giriş tələb edir, sorğunun işlənməsində əhəmiyyətli gecikməyə (orta hesabla 350 ms) gətirib çıxarır və məxfiliyin təmin edilməsində problemlər var (sorğulara cavab verən OCSP serverləri konkret sertifikatlar haqqında məlumat alır, hansının olub-olmadığını mühakimə etmək üçün istifadə edilə bilər. istifadəçinin açdığı saytlar). Siyahılara qarşı yerli yoxlama imkanı da var (Sertifikatların ləğvi siyahısı), lakin bu metodun dezavantajı yüklənmiş məlumatların çox böyük ölçüsüdür - hazırda ləğv edilmiş sertifikatların məlumat bazası təxminən 300 MB tutur və onun böyüməsi davam edir.
Sertifikatlaşdırma orqanları tərəfindən pozulmuş və ləğv edilmiş sertifikatları bloklamaq üçün Firefox 2015-ci ildən bəri mərkəzləşdirilmiş qara siyahıdan istifadə edir. xidmətə zəng ilə birlikdə mümkün zərərli fəaliyyəti müəyyən etmək. OneCRL, kimi Chrome-da sertifikatlaşdırma orqanlarından CRL siyahılarını birləşdirən ara keçid rolunu oynayır və ləğv edilmiş sertifikatları yoxlamaq üçün vahid mərkəzləşdirilmiş OCSP xidmətini təmin etməklə, sorğuları birbaşa sertifikatlaşdırma orqanlarına göndərməməyə imkan verir. Onlayn sertifikatın yoxlanılması xidmətinin etibarlılığını artırmaq üçün çox iş görülməsinə baxmayaraq, telemetriya məlumatları göstərir ki, OCSP sorğularının 7% -dən çoxu vaxt aşıb (bir neçə il əvvəl bu rəqəm 15% idi).
Varsayılan olaraq, OCSP vasitəsilə yoxlamaq mümkün deyilsə, brauzer sertifikatı etibarlı hesab edir. Şəbəkə problemləri və daxili şəbəkələrdəki məhdudiyyətlər səbəbindən xidmət əlçatmaz ola bilər və ya təcavüzkarlar tərəfindən bloklana bilər - MITM hücumu zamanı OCSP yoxlamasından yan keçmək üçün çek xidmətinə girişi bloklamaq kifayətdir. Bu cür hücumların qarşısını qismən almaq üçün texnika tətbiq edilib , bu sizə OCSP giriş xətasını və ya OCSP-nin əlçatmazlığını sertifikatla bağlı problem kimi nəzərdən keçirməyə imkan verir, lakin bu funksiya isteğe bağlıdır və sertifikatın xüsusi qeydiyyatını tələb edir.
CRLite bütün ləğv edilmiş sertifikatlar haqqında tam məlumatı asanlıqla yenilənən strukturda, cəmi 1 MB ölçüsündə birləşdirməyə imkan verir ki, bu da müştəri tərəfində tam CRL verilənlər bazasını saxlamağa imkan verir.
Brauzer hər gün ləğv edilmiş sertifikatlar haqqında məlumatların surətini sinxronlaşdıra biləcək və bu məlumat bazası istənilən şəraitdə mövcud olacaq.
CRLite məlumatı özündə birləşdirir , bütün verilmiş və ləğv edilmiş sertifikatların və İnternetdə sertifikatların skan edilməsinin nəticələrinin ictimai jurnalı (sertifikasiya orqanlarının müxtəlif CRL siyahıları toplanır və bütün məlum sertifikatlar haqqında məlumat toplanır). Məlumat kaskaddan istifadə etməklə paketlənir , itkin elementin yanlış aşkarlanmasına imkan verən, lakin mövcud elementin buraxılmasını istisna edən ehtimal strukturu (yəni, müəyyən bir ehtimalla düzgün sertifikat üçün yanlış müsbət mümkündür, lakin ləğv edilmiş sertifikatların müəyyənləşdirilməsinə zəmanət verilir).
Yanlış pozitivləri aradan qaldırmaq üçün CRLite əlavə düzəldici filtr səviyyələrini təqdim etdi. Struktur yaradıldıqdan sonra bütün mənbə qeydləri axtarılır və hər hansı yanlış pozitivlər müəyyən edilir. Bu yoxlamanın nəticələrinə əsasən, birinci birinə basdırılan və ortaya çıxan yanlış müsbətləri düzəldən əlavə bir quruluş yaradılır. Nəzarət yoxlaması zamanı yanlış pozitivlər tamamilə aradan qaldırılana qədər əməliyyat təkrarlanır. Tipik olaraq, bütün məlumatları tamamilə əhatə etmək üçün 7-10 təbəqə yaratmaq kifayətdir. Verilənlər bazasının vəziyyəti, dövri sinxronizasiyaya görə, CRL-nin hazırkı vəziyyətindən bir qədər geri qaldığından, CRLite verilənlər bazasının son yeniləməsindən sonra verilmiş yeni sertifikatların yoxlanılması OCSP protokolundan, o cümlədən OCSP protokolundan istifadə etməklə həyata keçirilir. (Sertifikatlaşdırma orqanı tərəfindən təsdiq edilmiş OCSP cavabı TLS bağlantısı ilə bağlı danışıqlar apararkən sayta xidmət göstərən server tərəfindən ötürülür).
Bloom filtrlərindən istifadə edərək, WebPKI-dən 100 milyon aktiv sertifikatı və 750 min ləğv edilmiş sertifikatı əhatə edən dekabr ayı məlumat dilimi 1.3 MB ölçüsündə bir quruluşa yığıla bildi. Strukturun yaradılması prosesi kifayət qədər resurs tələb edir, lakin o, Mozilla serverində həyata keçirilir və istifadəçiyə hazır yeniləmə verilir. Məsələn, binar formada, generasiya zamanı istifadə edilən mənbə məlumatı Redis DBMS-də saxlandıqda təxminən 16 GB yaddaş tələb edir, onaltılıq formada isə bütün sertifikatların seriya nömrələrinin tullantıları təxminən 6.7 GB təşkil edir. Bütün ləğv edilmiş və aktiv sertifikatların birləşdirilməsi prosesi təxminən 40 dəqiqə, Bloom filtri əsasında paketlənmiş strukturun yaradılması prosesi isə daha 20 dəqiqə çəkir.
Mozilla hazırda CRLite verilənlər bazasının gündə dörd dəfə yenilənməsini təmin edir (bütün yeniləmələr müştərilərə çatdırılmır). Delta yeniləmələrinin yaradılması hələ həyata keçirilməyib - buraxılışlar üçün delta yeniləmələri yaratmaq üçün istifadə edilən bsdiff4-dən istifadə CRLite üçün adekvat səmərəliliyi təmin etmir və yeniləmələr əsassız dərəcədə böyükdür. Bu çatışmazlığı aradan qaldırmaq üçün lazımsız yenidən qurulmasını və təbəqələrin silinməsini aradan qaldırmaq üçün saxlama strukturunun formatının yenidən işlənməsi planlaşdırılır.
CRLite hazırda Firefox-da passiv rejimdə işləyir və düzgün əməliyyat haqqında statistik məlumatları toplamaq üçün OCSP ilə paralel olaraq istifadə olunur. CRLite əsas skan rejiminə keçirilə bilər, bunun üçün siz about:config-də security.pki.crlite_mode = 2 parametrini təyin etməlisiniz.
Mənbə: opennet.ru