Cwmni Mozilla
Dilysu tystysgrif gan ddefnyddio gwasanaethau allanol yn seiliedig ar y protocol sy'n dal i gael ei ddefnyddio
I rwystro tystysgrifau sydd wedi'u peryglu a'u dirymu gan awdurdodau ardystio, mae Firefox wedi defnyddio rhestr ddu ganolog ers 2015
Yn ddiofyn, os yw'n amhosibl gwirio trwy OCSP, mae'r porwr yn ystyried bod y dystysgrif yn ddilys. Efallai na fydd y gwasanaeth ar gael oherwydd problemau rhwydwaith a chyfyngiadau ar rwydweithiau mewnol, neu wedi'i rwystro gan ymosodwyr - i osgoi'r gwiriad OCSP yn ystod ymosodiad MITM, dim ond rhwystro mynediad i'r gwasanaeth siec. Yn rhannol i atal ymosodiadau o'r fath, mae techneg wedi'i rhoi ar waith
Mae CRLite yn caniatáu ichi gyfuno gwybodaeth gyflawn am yr holl dystysgrifau sydd wedi'u dirymu i mewn i strwythur sy'n hawdd ei ddiweddaru, dim ond 1 MB o faint, sy'n ei gwneud hi'n bosibl storio cronfa ddata CRL gyflawn ar ochr y cleient.
Bydd y porwr yn gallu cysoni ei gopi o'r data am dystysgrifau wedi'u dirymu yn ddyddiol, a bydd y gronfa ddata hon ar gael o dan unrhyw amodau.
Mae CRLite yn cyfuno gwybodaeth o
Er mwyn dileu positifau ffug, mae CRLite wedi cyflwyno lefelau hidlo cywiro ychwanegol. Ar ôl cynhyrchu'r strwythur, mae'r holl gofnodion ffynhonnell yn cael eu chwilio a chaiff unrhyw bethau cadarnhaol ffug eu nodi. Yn seiliedig ar ganlyniadau'r gwiriad hwn, crëir strwythur ychwanegol, sy'n cael ei raeadru i'r un cyntaf ac yn cywiro'r positifau ffug sy'n deillio o hynny. Mae'r llawdriniaeth yn cael ei hailadrodd nes bod positifau ffug yn ystod y gwiriad rheoli wedi'u dileu'n llwyr. Yn nodweddiadol, mae creu 7-10 haen yn ddigon i gwmpasu'r holl ddata yn llwyr. Gan fod cyflwr y gronfa ddata, oherwydd cydamseru cyfnodol, ychydig y tu ôl i gyflwr presennol y CRL, mae gwirio tystysgrifau newydd a gyhoeddwyd ar ôl y diweddariad diwethaf o gronfa ddata CRLite yn cael ei wneud gan ddefnyddio'r protocol OCSP, gan gynnwys defnyddio'r
Gan ddefnyddio hidlwyr Bloom, roedd modd pacio darn mis Rhagfyr o wybodaeth o WebPKI, a oedd yn cwmpasu 100 miliwn o dystysgrifau gweithredol a 750 mil o dystysgrifau wedi'u dirymu, i strwythur o 1.3 MB o faint. Mae'r broses cynhyrchu strwythur yn eithaf dwys o ran adnoddau, ond fe'i perfformir ar weinydd Mozilla a rhoddir diweddariad parod i'r defnyddiwr. Er enghraifft, ar ffurf ddeuaidd, mae angen tua 16 GB o gof ar y data ffynhonnell a ddefnyddir wrth gynhyrchu pan gaiff ei storio yn y Redis DBMS, ac ar ffurf hecsadegol, mae dympio holl rifau cyfresol tystysgrif yn cymryd tua 6.7 GB. Mae'r broses o agregu'r holl dystysgrifau sydd wedi'u dirymu a thystysgrif weithredol yn cymryd tua 40 munud, ac mae'r broses o gynhyrchu strwythur wedi'i becynnu yn seiliedig ar hidlydd Bloom yn cymryd 20 munud arall.
Ar hyn o bryd mae Mozilla yn sicrhau bod cronfa ddata CRLite yn cael ei diweddaru bedair gwaith y dydd (nid yw pob diweddariad yn cael ei gyflwyno i gleientiaid). Nid yw cynhyrchu diweddariadau delta wedi'u gweithredu eto - nid yw'r defnydd o bsdiff4, a ddefnyddir i greu diweddariadau delta ar gyfer datganiadau, yn darparu effeithlonrwydd digonol ar gyfer CRLite ac mae'r diweddariadau yn afresymol o fawr. Er mwyn dileu'r anfantais hon, bwriedir ail-weithio fformat y strwythur storio i ddileu ailadeiladu diangen a dileu haenau.
Ar hyn o bryd mae CRLite yn gweithio yn Firefox mewn modd goddefol ac fe'i defnyddir ochr yn ochr ag OCSP i gronni ystadegau am y gweithrediad cywir. Gellir newid CRLite i'r prif fodd sgan; i wneud hyn, mae angen i chi osod y paramedr security.pki.crlite_mode = 2 yn about:config.
Ffynhonnell: opennet.ru