Mozilla Company
Sertifikaatin vahvistus käyttämällä ulkoisia palveluita edelleen käytössä olevan protokollan perusteella
Firefox on käyttänyt keskitettyä mustaa listaa vuodesta 2015 lähtien estämään sertifikaatit, jotka varmenneviranomaiset ovat vaarantuneet ja kumonneet.
Jos varmentaminen OCSP:n kautta on mahdotonta, selain pitää varmennetta oletuksena voimassa. Palvelu saattaa olla poissa käytöstä verkko-ongelmien ja sisäisten verkkojen rajoitusten vuoksi tai hyökkääjien estämä - ohittaaksesi OCSP-tarkistuksen MITM-hyökkäyksen aikana, yksinkertaisesti estä pääsy tarkistuspalveluun. Osittain tällaisten hyökkäysten estämiseksi on otettu käyttöön tekniikka
CRLiten avulla voit yhdistää täydelliset tiedot kaikista peruutetuista varmenteista helposti päivitettävään, vain 1 Mt:n rakenteeseen, mikä mahdollistaa täydellisen CRL-tietokannan tallentamisen asiakaspuolelle.
Selain pystyy synkronoimaan kopionsa peruutettujen varmenteiden tiedoista päivittäin, ja tämä tietokanta on käytettävissä kaikissa olosuhteissa.
CRLite yhdistää tiedot kohteesta
Väärien positiivisten tulosten poistamiseksi CRLite on ottanut käyttöön lisää korjaavia suodatintasoja. Rakenteen luomisen jälkeen kaikki lähdetietueet etsitään ja kaikki väärät positiiviset tunnistetaan. Tämän tarkistuksen tulosten perusteella luodaan ylimääräinen rakenne, joka kaskadoidaan ensimmäiseen ja korjaa saadut väärät positiiviset. Toimenpide toistetaan, kunnes väärät positiiviset tulokset kontrollitarkistuksen aikana on eliminoitu kokonaan. Yleensä 7-10 kerroksen luominen riittää peittämään kaikki tiedot kokonaan. Koska tietokannan tila on määräajoin tapahtuvan synkronoinnin vuoksi hieman jäljessä CRL:n nykyisestä tilasta, CRLite-tietokannan viimeisen päivityksen jälkeen myönnettyjen uusien varmenteiden tarkistus suoritetaan OCSP-protokollalla, mukaan lukien
Bloom-suodattimien avulla WebPKI:n joulukuun tietolohko, joka kattaa 100 miljoonaa aktiivista varmennetta ja 750 tuhatta peruutettua varmennetta, saatiin pakattua 1.3 MB:n kokoiseen rakenteeseen. Rakenteen luontiprosessi on melko resurssiintensiivinen, mutta se suoritetaan Mozilla-palvelimella ja käyttäjä saa valmiin päivityksen. Esimerkiksi binäärimuodossa generoinnin aikana käytetyt lähdetiedot vaativat noin 16 Gt muistia Redis DBMS:ään tallennettuna, ja heksadesimaalimuodossa kaikkien sertifikaattien sarjanumeroiden vedos vie noin 6.7 Gt. Kaikkien peruutettujen ja aktiivisten varmenteiden yhdistämisprosessi kestää noin 40 minuuttia, ja Bloom-suodattimeen perustuvan pakatun rakenteen luominen vie vielä 20 minuuttia.
Mozilla varmistaa tällä hetkellä, että CRLite-tietokanta päivitetään neljä kertaa päivässä (kaikkia päivityksiä ei toimiteta asiakkaille). Deltapäivitysten generointia ei ole vielä toteutettu - bsdiff4:n käyttö, jolla luodaan deltapäivityksiä julkaisuille, ei tarjoa riittävää tehokkuutta CRLitelle ja päivitykset ovat kohtuuttoman suuria. Tämän epäkohdan poistamiseksi on tarkoitus muokata tallennusrakenteen muotoa tarpeettomien tasojen uudelleenrakentamisen ja poistamisen välttämiseksi.
CRLite toimii tällä hetkellä Firefoxissa passiivisessa tilassa ja sitä käytetään rinnakkain OCSP:n kanssa keräämään tilastoja oikeasta toiminnasta. CRLite voidaan vaihtaa päätarkistustilaan; tätä varten sinun on asetettava parametri security.pki.crlite_mode = 2 parametrissa about:config.
Lähde: opennet.ru