Mozilla şirkəti
Hələ də istifadə olunan protokol əsasında xarici xidmətlərdən istifadə edərək sertifikatın yoxlanılması
Sertifikatlaşdırma orqanları tərəfindən pozulmuş və ləğv edilmiş sertifikatları bloklamaq üçün Firefox 2015-ci ildən bəri mərkəzləşdirilmiş qara siyahıdan istifadə edir.
Varsayılan olaraq, OCSP vasitəsilə yoxlamaq mümkün deyilsə, brauzer sertifikatı etibarlı hesab edir. Şəbəkə problemləri və daxili şəbəkələrdəki məhdudiyyətlər səbəbindən xidmət əlçatmaz ola bilər və ya təcavüzkarlar tərəfindən bloklana bilər - MITM hücumu zamanı OCSP yoxlamasından yan keçmək üçün çek xidmətinə girişi bloklamaq kifayətdir. Bu cür hücumların qarşısını qismən almaq üçün texnika tətbiq edilib
CRLite bütün ləğv edilmiş sertifikatlar haqqında tam məlumatı asanlıqla yenilənən strukturda, cəmi 1 MB ölçüsündə birləşdirməyə imkan verir ki, bu da müştəri tərəfində tam CRL verilənlər bazasını saxlamağa imkan verir.
Brauzer hər gün ləğv edilmiş sertifikatlar haqqında məlumatların surətini sinxronlaşdıra biləcək və bu məlumat bazası istənilən şəraitdə mövcud olacaq.
CRLite məlumatı özündə birləşdirir
Yanlış pozitivləri aradan qaldırmaq üçün CRLite əlavə düzəldici filtr səviyyələrini təqdim etdi. Struktur yaradıldıqdan sonra bütün mənbə qeydləri axtarılır və hər hansı yanlış pozitivlər müəyyən edilir. Bu yoxlamanın nəticələrinə əsasən, birinci birinə basdırılan və ortaya çıxan yanlış müsbətləri düzəldən əlavə bir quruluş yaradılır. Nəzarət yoxlaması zamanı yanlış pozitivlər tamamilə aradan qaldırılana qədər əməliyyat təkrarlanır. Tipik olaraq, bütün məlumatları tamamilə əhatə etmək üçün 7-10 təbəqə yaratmaq kifayətdir. Verilənlər bazasının vəziyyəti, dövri sinxronizasiyaya görə, CRL-nin hazırkı vəziyyətindən bir qədər geri qaldığından, CRLite verilənlər bazasının son yeniləməsindən sonra verilmiş yeni sertifikatların yoxlanılması OCSP protokolundan, o cümlədən OCSP protokolundan istifadə etməklə həyata keçirilir.
Bloom filtrlərindən istifadə edərək, WebPKI-dən 100 milyon aktiv sertifikatı və 750 min ləğv edilmiş sertifikatı əhatə edən dekabr ayı məlumat dilimi 1.3 MB ölçüsündə bir quruluşa yığıla bildi. Strukturun yaradılması prosesi kifayət qədər resurs tələb edir, lakin o, Mozilla serverində həyata keçirilir və istifadəçiyə hazır yeniləmə verilir. Məsələn, binar formada, generasiya zamanı istifadə edilən mənbə məlumatı Redis DBMS-də saxlandıqda təxminən 16 GB yaddaş tələb edir, onaltılıq formada isə bütün sertifikatların seriya nömrələrinin tullantıları təxminən 6.7 GB təşkil edir. Bütün ləğv edilmiş və aktiv sertifikatların birləşdirilməsi prosesi təxminən 40 dəqiqə, Bloom filtri əsasında paketlənmiş strukturun yaradılması prosesi isə daha 20 dəqiqə çəkir.
Mozilla hazırda CRLite verilənlər bazasının gündə dörd dəfə yenilənməsini təmin edir (bütün yeniləmələr müştərilərə çatdırılmır). Delta yeniləmələrinin yaradılması hələ həyata keçirilməyib - buraxılışlar üçün delta yeniləmələri yaratmaq üçün istifadə edilən bsdiff4-dən istifadə CRLite üçün adekvat səmərəliliyi təmin etmir və yeniləmələr əsassız dərəcədə böyükdür. Bu çatışmazlığı aradan qaldırmaq üçün lazımsız yenidən qurulmasını və təbəqələrin silinməsini aradan qaldırmaq üçün saxlama strukturunun formatının yenidən işlənməsi planlaşdırılır.
CRLite hazırda Firefox-da passiv rejimdə işləyir və düzgün əməliyyat haqqında statistik məlumatları toplamaq üçün OCSP ilə paralel olaraq istifadə olunur. CRLite əsas skan rejiminə keçirilə bilər, bunun üçün siz about:config-də security.pki.crlite_mode = 2 parametrini təyin etməlisiniz.
Mənbə: opennet.ru