شرکت موزیلا
تأیید گواهی با استفاده از سرویس های خارجی بر اساس پروتکلی که هنوز استفاده می شود
فایرفاکس از سال 2015 برای مسدود کردن گواهینامه هایی که توسط مقامات صدور گواهینامه به خطر افتاده و باطل شده اند، از یک لیست سیاه متمرکز استفاده کرده است.
به طور پیش فرض، اگر تأیید از طریق OCSP غیرممکن باشد، مرورگر گواهی را معتبر می داند. این سرویس ممکن است به دلیل مشکلات و محدودیت های شبکه در شبکه های داخلی در دسترس نباشد یا توسط مهاجمان مسدود شود - برای دور زدن بررسی OCSP در طول حمله MITM، به سادگی دسترسی به سرویس چک را مسدود کنید. تا حدی برای جلوگیری از چنین حملاتی، تکنیکی به کار گرفته شده است
CRLite به شما امکان می دهد اطلاعات کامل مربوط به تمام گواهی های باطل شده را در یک ساختار به راحتی به روز شده، تنها 1 مگابایت ادغام کنید، که امکان ذخیره یک پایگاه داده کامل CRL را در سمت مشتری فراهم می کند.
مرورگر میتواند کپی خود را از دادههای مربوط به گواهیهای باطل شده روزانه همگامسازی کند و این پایگاه داده تحت هر شرایطی در دسترس خواهد بود.
CRLite اطلاعات را از
برای حذف موارد مثبت کاذب، CRLite سطوح فیلتر اصلاحی اضافی را معرفی کرده است. پس از ایجاد ساختار، تمام سوابق منبع جستجو شده و هر گونه مثبت کاذب شناسایی می شود. بر اساس نتایج این بررسی، یک ساختار اضافی ایجاد میشود که بر روی اولی آبشاری میشود و مثبتهای کاذب حاصل را تصحیح میکند. این عملیات تا زمانی تکرار می شود که مثبت کاذب در حین بررسی کنترل کاملاً از بین برود. به طور معمول، ایجاد 7-10 لایه برای پوشش کامل تمام داده ها کافی است. از آنجایی که وضعیت پایگاه داده، به دلیل همگام سازی دوره ای، کمی از وضعیت فعلی CRL عقب است، بررسی گواهی های جدید صادر شده پس از آخرین به روز رسانی پایگاه داده CRLite با استفاده از پروتکل OCSP، از جمله با استفاده از
با استفاده از فیلترهای بلوم، برش اطلاعات دسامبر WebPKI، که 100 میلیون گواهی فعال و 750 هزار گواهی لغو شده را پوشش میدهد، توانست در ساختاری با حجم 1.3 مگابایت بستهبندی شود. فرآیند تولید ساختار کاملاً نیازمند منابع است، اما بر روی سرور موزیلا انجام می شود و به روز رسانی آماده به کاربر داده می شود. به عنوان مثال، در فرم باینری، داده های منبع مورد استفاده در طول تولید به حدود 16 گیگابایت حافظه زمانی که در Redis DBMS ذخیره می شود، نیاز دارند، و در فرم هگزادسیمال، تخلیه تمام شماره های سریال گواهی ها حدود 6.7 گیگابایت طول می کشد. فرآیند جمعآوری تمامی گواهیهای باطل و فعال حدود 40 دقیقه طول میکشد و فرآیند تولید یک ساختار بستهبندی شده بر اساس فیلتر بلوم 20 دقیقه دیگر طول میکشد.
موزیلا در حال حاضر تضمین می کند که پایگاه داده CRLite چهار بار در روز به روز می شود (همه به روز رسانی ها به مشتریان ارائه نمی شوند). تولید بهروزرسانیهای دلتا هنوز پیادهسازی نشده است - استفاده از bsdiff4 که برای ایجاد بهروزرسانیهای دلتا برای نسخهها استفاده میشود، کارایی کافی را برای CRLite فراهم نمیکند و بهروزرسانیها بهطور غیرمنطقی بزرگ هستند. برای از بین بردن این اشکال، برنامه ریزی شده است که قالب ساختار ذخیره سازی مجدداً کار شود تا بازسازی و حذف غیر ضروری لایه ها حذف شود.
CRLite در حال حاضر در فایرفاکس در حالت غیرفعال کار می کند و به موازات OCSP برای جمع آوری آمار در مورد عملکرد صحیح استفاده می شود. CRLite را می توان به حالت اسکن اصلی تغییر داد؛ برای انجام این کار، باید پارامتر security.pki.crlite_mode = 2 را در about:config تنظیم کنید.
منبع: opennet.ru