Mozilla konpainia Firefox-en gaueko konposizioetan probak hasi izanari buruz, baliogabetutako ziurtagiriak detektatzeko mekanismo berri bat - . CLRitek ziurtagiriak baliogabetzeko egiaztapen eraginkorra antolatzeko aukera ematen dizu erabiltzailearen sisteman ostatatutako datu-base baten aurka. Mozillaren CRLite inplementazioa doako MPL 2.0 lizentziapean. Datu-basea eta zerbitzariaren osagaiak sortzeko kodea idatzita dago eta Joan. Bezeroaren zatiak Firefox-era gehitu dira datu-baseko datuak irakurtzeko Rust hizkuntzan.
Ziurtagiriaren egiaztapena kanpoko zerbitzuak erabiliz oraindik erabiltzen den protokoloan oinarrituta (Online Ziurtagiriaren Egoera Protokoloa) sarerako sarbidea bermatua eskatzen du, eskaera prozesatzeko atzerapen handia dakar (batez beste 350 ms) eta konfidentzialtasuna bermatzeko arazoak ditu (eskaerei erantzuten dieten OCSP zerbitzariek ziurtagiri zehatzei buruzko informazioa jasotzen dute, zeina zer den ala ez epaitzeko erabil daitekeen). erabiltzaileak irekitzen dituen guneak). Zerrendekin tokian tokiko egiaztapena egiteko aukera ere badago (Ziurtagiriak ezeztatzeko zerrenda), baina metodo honen desabantaila deskargatutako datuen tamaina oso handia da - gaur egun baliogabetutako ziurtagirien datu-baseak 300 MB inguru okupatzen du eta hazten jarraitzen du.
Ziurtagiri-agintariek arriskuan jarri eta baliogabetu dituzten ziurtagiriak blokeatzeko, Firefoxek zerrenda beltz zentralizatua erabiltzen du 2015etik. zerbitzurako deiarekin batera jarduera kaltegarri posibleak identifikatzeko. OneCRL, esaterako Chrome-n, ziurtagiri-agintaritzen CRL zerrendak batzen dituen tarteko esteka gisa funtzionatzen du eta OCSP zerbitzu zentralizatu bakarra eskaintzen du baliogabetutako ziurtagiriak egiaztatzeko, ziurtagiri-autoritateei eskaerak zuzenean ez bidaltzea posible eginez. Lineako ziurtagirien egiaztapen-zerbitzuaren fidagarritasuna hobetzeko lan handia izan arren, telemetria-datuek erakusten dute OCSP eskaeren % 7 baino gehiagoren denbora-muga (duela urte batzuk % 15ekoa zen).
Lehenespenez, OCSP bidez egiaztatzea ezinezkoa bada, arakatzaileak baliozkotzat jotzen du ziurtagiria. Baliteke zerbitzua erabilgarri ez egotea sare-arazoak eta barne-sareetako murrizketak direla eta, edo erasotzaileek blokeatuta - MITM eraso batean OCSP egiaztapena saihesteko, blokeatu kontrol-zerbitzurako sarbidea. Neurri batean horrelako erasoak saihesteko, teknika bat ezarri da , OCSP sarbide-errore bat edo OCSP erabilgarritasunik eza ziurtagiriaren arazo gisa tratatzeko aukera ematen duena, baina eginbide hau hautazkoa da eta ziurtagiriaren erregistro berezia behar du.
CRLitek baliogabetutako ziurtagiri guztiei buruzko informazio osoa erraz eguneratzen den egitura batean biltzeko aukera ematen du, 1 MB baino ez duena, eta horrek CRL datu-base osoa bezeroaren aldean gordetzeko aukera ematen du.
Arakatzaileak egunero sinkronizatzeko aukera izango du baliogabetutako ziurtagiriei buruzko datuen kopia, eta datu-base hori edozein baldintzatan egongo da eskuragarri.
CRLite-k informazioa konbinatzen du , jaulkitako eta baliogabetutako ziurtagiri guztien erregistro publikoa eta Interneten ziurtagiriak eskaneatu izanaren emaitzak (ziurtagiri-agintarien CRL hainbat zerrenda biltzen dira eta ezagutzen diren ziurtagiri guztiei buruzko informazioa biltzen da). Datuak kaskada erabiliz paketatzen dira , falta den elementu bat faltsu detektatzeko aukera ematen duen egitura probabilista, baina lehendik dagoen elementu bat ez uztea baztertzen duena (hau da, probabilitate jakin batekin, ziurtagiri zuzen baterako positibo faltsu bat posible da, baina baliogabetutako ziurtagiriak identifikatuko direla bermatuta dago).
Positibo faltsuak ezabatzeko, CLRitek iragazki-maila zuzentzaile gehigarriak sartu ditu. Egitura sortu ondoren, iturburu-erregistro guztiak bilatzen dira eta positibo faltsuak identifikatzen dira. Egiaztapen honen emaitzetan oinarrituta, egitura gehigarri bat sortzen da, lehenengora kaskadatuta eta ondoriozko positibo faltsuak zuzentzen dituena. Eragiketa errepikatzen da kontrol-egiaztapenean zehar positibo faltsuak guztiz ezabatu arte. Normalean, 7-10 geruza sortzea nahikoa da datu guztiak guztiz estaltzeko. Datu-basearen egoera, aldizkako sinkronizazioa dela eta, CRLren egungo egoeraren apur bat atzeratzen denez, CRLite datu-basearen azken eguneratzearen ondoren emandako ziurtagiri berrien egiaztapena OCSP protokoloa erabiliz egiten da, barne. (ziurtagiri-agintari batek ziurtatutako OCSP erantzuna gunea zerbitzatzen duen zerbitzariak transmititzen du TLS konexioa negoziatzen denean).
Bloom iragazkiak erabiliz, WebPKIren abenduko informazio zatia, 100 milioi ziurtagiri aktibo eta 750 mila ziurtagiri baliogabetu dituena, 1.3 MBko tamainako egitura batean bildu ahal izan zen. Egitura sortzeko prozesua nahiko baliabide-intentsiboa da, baina Mozilla zerbitzarian egiten da eta erabiltzaileari prest dagoen eguneratzea ematen zaio. Esate baterako, forma bitarrean, sorkuntzan erabilitako iturburu-datuek 16 GB inguruko memoria behar dute Redis DBMSan gordeta, eta forma hamaseimalean, ziurtagirien serie-zenbaki guztien iraulketak 6.7 GB inguru behar ditu. Ziurtagiri baliogabetu eta aktibo guztiak batzeko prozesuak 40 minutu inguru irauten du, eta Bloom iragazkian oinarritutako paketatutako egitura bat sortzeko prozesuak beste 20 minutu behar ditu.
Mozillak bermatzen du CRLite datu-basea egunean lau aldiz eguneratzen dela (eguneratze guztiak ez zaizkie bezeroei entregatzen). Delta eguneraketak sortzea ez da oraindik inplementatu - bsdiff4 erabiltzeak, bertsioetarako delta eguneraketak sortzeko erabiltzen dena, ez du eraginkortasun egokia ematen CRLite-ri eta eguneraketak arrazoirik gabe handiak dira. Eragozpen hori kentzeko, biltegiratze-egituraren formatua birlantzea aurreikusi da, beharrezkoak ez diren geruzak berreraiki eta ezabatzeko.
Une honetan CRLite Firefox-en modu pasiboan funtzionatzen du eta OCSPrekin paraleloan erabiltzen da funtzionamendu zuzenari buruzko estatistikak pilatzeko. CRLite eskaneatzeko modu nagusira alda daiteke; horretarako, security.pki.crlite_mode = 2 parametroa ezarri behar duzu about:config.
Iturria: opennet.ru