Cwmni Mozilla am ddechrau profi mewn adeiladau nosweithiol o Firefox fecanwaith newydd ar gyfer canfod tystysgrifau wedi'u dirymu - . Mae CRLite yn caniatáu ichi drefnu gwiriad diddymiad tystysgrif effeithiol yn erbyn cronfa ddata a gynhelir ar system y defnyddiwr. Gweithredu CRLite Mozilla o dan y drwydded MPL 2.0 am ddim. Mae'r cod ar gyfer cynhyrchu'r gronfa ddata a chydrannau gweinydd wedi'u hysgrifennu ynddo a Ewch. Ychwanegwyd rhannau cleient at Firefox ar gyfer darllen data o'r gronfa ddata yn iaith Rust.
Dilysu tystysgrif gan ddefnyddio gwasanaethau allanol yn seiliedig ar y protocol sy'n dal i gael ei ddefnyddio (Protocol Statws Tystysgrif Ar-lein) yn gofyn am fynediad gwarantedig i'r rhwydwaith, yn arwain at oedi sylweddol wrth brosesu ceisiadau (350ms ar gyfartaledd) ac yn cael problemau gyda sicrhau cyfrinachedd (mae gweinyddwyr OCSP sy'n ymateb i geisiadau yn derbyn gwybodaeth am dystysgrifau penodol, y gellir eu defnyddio i farnu a yw beth safleoedd y mae'r defnyddiwr yn eu hagor). Mae posibilrwydd hefyd o wirio lleol yn erbyn rhestrau (Rhestr Diddymu Tystysgrif), ond anfantais y dull hwn yw maint mawr iawn y data a lawrlwythwyd - ar hyn o bryd mae'r gronfa ddata o dystysgrifau wedi'u dirymu yn meddiannu tua 300 MB ac mae ei dwf yn parhau.
I rwystro tystysgrifau sydd wedi'u peryglu a'u dirymu gan awdurdodau ardystio, mae Firefox wedi defnyddio rhestr ddu ganolog ers 2015 mewn cyfuniad â galwad i wasanaeth i nodi gweithgarwch maleisus posibl. OneCRL, fel yn Chrome, yn gweithredu fel cyswllt canolraddol sy'n cydgrynhoi rhestrau CRL gan awdurdodau ardystio ac yn darparu un gwasanaeth OCSP canolog ar gyfer gwirio tystysgrifau wedi'u dirymu, gan ei gwneud hi'n bosibl peidio ag anfon ceisiadau yn uniongyrchol at awdurdodau ardystio. Er gwaethaf llawer o waith i wella dibynadwyedd y gwasanaeth dilysu tystysgrifau ar-lein, mae data telemetreg yn dangos bod mwy na 7% o geisiadau OCSP i gael seibiant (y ffigur hwn ychydig flynyddoedd yn ôl oedd 15%).
Yn ddiofyn, os yw'n amhosibl gwirio trwy OCSP, mae'r porwr yn ystyried bod y dystysgrif yn ddilys. Efallai na fydd y gwasanaeth ar gael oherwydd problemau rhwydwaith a chyfyngiadau ar rwydweithiau mewnol, neu wedi'i rwystro gan ymosodwyr - i osgoi'r gwiriad OCSP yn ystod ymosodiad MITM, dim ond rhwystro mynediad i'r gwasanaeth siec. Yn rhannol i atal ymosodiadau o'r fath, mae techneg wedi'i rhoi ar waith , sy'n eich galluogi i drin gwall mynediad OCSP neu ddiffyg argaeledd OCSP fel problem gyda'r dystysgrif, ond mae'r nodwedd hon yn ddewisol ac mae angen cofrestriad arbennig o'r dystysgrif.
Mae CRLite yn caniatáu ichi gyfuno gwybodaeth gyflawn am yr holl dystysgrifau sydd wedi'u dirymu i mewn i strwythur sy'n hawdd ei ddiweddaru, dim ond 1 MB o faint, sy'n ei gwneud hi'n bosibl storio cronfa ddata CRL gyflawn ar ochr y cleient.
Bydd y porwr yn gallu cysoni ei gopi o'r data am dystysgrifau wedi'u dirymu yn ddyddiol, a bydd y gronfa ddata hon ar gael o dan unrhyw amodau.
Mae CRLite yn cyfuno gwybodaeth o , log cyhoeddus o'r holl dystysgrifau a gyhoeddwyd ac a ddirymwyd, a chanlyniadau tystysgrifau sganio ar y Rhyngrwyd (cesglir rhestrau CRL amrywiol o awdurdodau ardystio a chaiff gwybodaeth am yr holl dystysgrifau hysbys ei hagregu). Mae data'n cael ei becynnu gan ddefnyddio rhaeadru , strwythur tebygol sy'n caniatáu canfod elfen goll yn anghywir, ond sy'n eithrio hepgor elfen sy'n bodoli eisoes (h.y., gyda thebygolrwydd penodol, mae positif ffug ar gyfer tystysgrif gywir yn bosibl, ond mae tystysgrifau wedi'u dirymu yn sicr o gael eu nodi).
Er mwyn dileu positifau ffug, mae CRLite wedi cyflwyno lefelau hidlo cywiro ychwanegol. Ar ôl cynhyrchu'r strwythur, mae'r holl gofnodion ffynhonnell yn cael eu chwilio a chaiff unrhyw bethau cadarnhaol ffug eu nodi. Yn seiliedig ar ganlyniadau'r gwiriad hwn, crëir strwythur ychwanegol, sy'n cael ei raeadru i'r un cyntaf ac yn cywiro'r positifau ffug sy'n deillio o hynny. Mae'r llawdriniaeth yn cael ei hailadrodd nes bod positifau ffug yn ystod y gwiriad rheoli wedi'u dileu'n llwyr. Yn nodweddiadol, mae creu 7-10 haen yn ddigon i gwmpasu'r holl ddata yn llwyr. Gan fod cyflwr y gronfa ddata, oherwydd cydamseru cyfnodol, ychydig y tu ôl i gyflwr presennol y CRL, mae gwirio tystysgrifau newydd a gyhoeddwyd ar ôl y diweddariad diwethaf o gronfa ddata CRLite yn cael ei wneud gan ddefnyddio'r protocol OCSP, gan gynnwys defnyddio'r (mae ymateb OCSP a ardystiwyd gan awdurdod ardystio yn cael ei drosglwyddo gan y gweinydd sy'n gwasanaethu'r safle wrth drafod cysylltiad TLS).
Gan ddefnyddio hidlwyr Bloom, roedd modd pacio darn mis Rhagfyr o wybodaeth o WebPKI, a oedd yn cwmpasu 100 miliwn o dystysgrifau gweithredol a 750 mil o dystysgrifau wedi'u dirymu, i strwythur o 1.3 MB o faint. Mae'r broses cynhyrchu strwythur yn eithaf dwys o ran adnoddau, ond fe'i perfformir ar weinydd Mozilla a rhoddir diweddariad parod i'r defnyddiwr. Er enghraifft, ar ffurf ddeuaidd, mae angen tua 16 GB o gof ar y data ffynhonnell a ddefnyddir wrth gynhyrchu pan gaiff ei storio yn y Redis DBMS, ac ar ffurf hecsadegol, mae dympio holl rifau cyfresol tystysgrif yn cymryd tua 6.7 GB. Mae'r broses o agregu'r holl dystysgrifau sydd wedi'u dirymu a thystysgrif weithredol yn cymryd tua 40 munud, ac mae'r broses o gynhyrchu strwythur wedi'i becynnu yn seiliedig ar hidlydd Bloom yn cymryd 20 munud arall.
Ar hyn o bryd mae Mozilla yn sicrhau bod cronfa ddata CRLite yn cael ei diweddaru bedair gwaith y dydd (nid yw pob diweddariad yn cael ei gyflwyno i gleientiaid). Nid yw cynhyrchu diweddariadau delta wedi'u gweithredu eto - nid yw'r defnydd o bsdiff4, a ddefnyddir i greu diweddariadau delta ar gyfer datganiadau, yn darparu effeithlonrwydd digonol ar gyfer CRLite ac mae'r diweddariadau yn afresymol o fawr. Er mwyn dileu'r anfantais hon, bwriedir ail-weithio fformat y strwythur storio i ddileu ailadeiladu diangen a dileu haenau.
Ar hyn o bryd mae CRLite yn gweithio yn Firefox mewn modd goddefol ac fe'i defnyddir ochr yn ochr ag OCSP i gronni ystadegau am y gweithrediad cywir. Gellir newid CRLite i'r prif fodd sgan; i wneud hyn, mae angen i chi osod y paramedr security.pki.crlite_mode = 2 yn about:config.
Ffynhonnell: opennet.ru