Mozilla Company testauksen alkamisesta Firefoxin öisissä versioissa uusi mekanismi peruutettujen varmenteiden havaitsemiseen - . CRLiten avulla voit järjestää tehokkaan varmenteen peruutuksen tarkistuksen käyttäjän järjestelmässä isännöityä tietokantaa vastaan. Mozillan CRLite-toteutus ilmaisella MPL 2.0 -lisenssillä. Koodi tietokannan ja palvelinkomponenttien luomiseksi on kirjoitettu sisään ja mene. Firefoxiin lisätyt asiakasosat tietojen lukemista varten tietokannasta ruosteen kielellä.
Sertifikaatin vahvistus käyttämällä ulkoisia palveluita edelleen käytössä olevan protokollan perusteella (Online Certificate Status Protocol) edellyttää taattua verkkoyhteyttä, johtaa merkittävään viiveeseen pyyntöjen käsittelyssä (keskimäärin 350 ms) ja sillä on ongelmia luottamuksellisuuden varmistamisessa (pyyntöihin vastaavat OCSP-palvelimet saavat tietoja tietyistä varmenteista, joiden perusteella voidaan arvioida, sivustot, jotka käyttäjä avaa). On myös mahdollisuus tarkistaa paikallisesti luetteloita vastaan (Certificate Revocation List), mutta tämän menetelmän haittana on ladattavien tietojen erittäin suuri koko - tällä hetkellä peruutettujen varmenteiden tietokanta vie noin 300 MB ja sen kasvu jatkuu.
Firefox on käyttänyt keskitettyä mustaa listaa vuodesta 2015 lähtien estämään sertifikaatit, jotka varmenneviranomaiset ovat vaarantuneet ja kumonneet. yhdessä huoltokutsun kanssa tunnistaakseen mahdollisen haitallisen toiminnan. OneCRL, kuten Chromessa toimii välilinkkinä, joka kokoaa yhteen varmenneviranomaisten CRL-luettelot ja tarjoaa yhden keskitetyn OCSP-palvelun peruutettujen varmenteiden tarkistamiseen, jolloin pyyntöjä ei lähetetä suoraan varmenneviranomaisille. Huolimatta paljon työstä online-varmenteiden varmennuspalvelun luotettavuuden parantamiseksi, telemetriatiedot osoittavat, että yli 7 % OCSP-pyynnöistä aikakatkaistiin (muutama vuosi sitten luku oli 15 %).
Jos varmentaminen OCSP:n kautta on mahdotonta, selain pitää varmennetta oletuksena voimassa. Palvelu saattaa olla poissa käytöstä verkko-ongelmien ja sisäisten verkkojen rajoitusten vuoksi tai hyökkääjien estämä - ohittaaksesi OCSP-tarkistuksen MITM-hyökkäyksen aikana, yksinkertaisesti estä pääsy tarkistuspalveluun. Osittain tällaisten hyökkäysten estämiseksi on otettu käyttöön tekniikka , jonka avulla voit käsitellä OCSP-käyttövirhettä tai OCSP:n epäkäytettävyyttä varmenteen ongelmana, mutta tämä ominaisuus on valinnainen ja vaatii varmenteen erityisen rekisteröinnin.
CRLiten avulla voit yhdistää täydelliset tiedot kaikista peruutetuista varmenteista helposti päivitettävään, vain 1 Mt:n rakenteeseen, mikä mahdollistaa täydellisen CRL-tietokannan tallentamisen asiakaspuolelle.
Selain pystyy synkronoimaan kopionsa peruutettujen varmenteiden tiedoista päivittäin, ja tämä tietokanta on käytettävissä kaikissa olosuhteissa.
CRLite yhdistää tiedot kohteesta , julkinen loki kaikista myönnetyistä ja peruutetuista varmenteista ja varmenteiden skannaustuloksista Internetissä (erilaisia CRL-luetteloita varmenneviranomaisista kerätään ja tiedot kaikista tunnetuista varmenteista kootaan yhteen). Tiedot pakataan peräkkäin , todennäköisyysrakenne, joka mahdollistaa puuttuvan elementin väärän havaitsemisen, mutta sulkee pois olemassa olevan elementin poisjättämisen (eli tietyllä todennäköisyydellä väärä positiivinen oikea varmenne on mahdollinen, mutta peruutetut varmenteet on taatusti tunnistettu).
Väärien positiivisten tulosten poistamiseksi CRLite on ottanut käyttöön lisää korjaavia suodatintasoja. Rakenteen luomisen jälkeen kaikki lähdetietueet etsitään ja kaikki väärät positiiviset tunnistetaan. Tämän tarkistuksen tulosten perusteella luodaan ylimääräinen rakenne, joka kaskadoidaan ensimmäiseen ja korjaa saadut väärät positiiviset. Toimenpide toistetaan, kunnes väärät positiiviset tulokset kontrollitarkistuksen aikana on eliminoitu kokonaan. Yleensä 7-10 kerroksen luominen riittää peittämään kaikki tiedot kokonaan. Koska tietokannan tila on määräajoin tapahtuvan synkronoinnin vuoksi hieman jäljessä CRL:n nykyisestä tilasta, CRLite-tietokannan viimeisen päivityksen jälkeen myönnettyjen uusien varmenteiden tarkistus suoritetaan OCSP-protokollalla, mukaan lukien (Sivustoa palveleva palvelin lähettää varmentajan varmentaman OCSP-vastauksen neuvoteltaessa TLS-yhteyttä).
Bloom-suodattimien avulla WebPKI:n joulukuun tietolohko, joka kattaa 100 miljoonaa aktiivista varmennetta ja 750 tuhatta peruutettua varmennetta, saatiin pakattua 1.3 MB:n kokoiseen rakenteeseen. Rakenteen luontiprosessi on melko resurssiintensiivinen, mutta se suoritetaan Mozilla-palvelimella ja käyttäjä saa valmiin päivityksen. Esimerkiksi binäärimuodossa generoinnin aikana käytetyt lähdetiedot vaativat noin 16 Gt muistia Redis DBMS:ään tallennettuna, ja heksadesimaalimuodossa kaikkien sertifikaattien sarjanumeroiden vedos vie noin 6.7 Gt. Kaikkien peruutettujen ja aktiivisten varmenteiden yhdistämisprosessi kestää noin 40 minuuttia, ja Bloom-suodattimeen perustuvan pakatun rakenteen luominen vie vielä 20 minuuttia.
Mozilla varmistaa tällä hetkellä, että CRLite-tietokanta päivitetään neljä kertaa päivässä (kaikkia päivityksiä ei toimiteta asiakkaille). Deltapäivitysten generointia ei ole vielä toteutettu - bsdiff4:n käyttö, jolla luodaan deltapäivityksiä julkaisuille, ei tarjoa riittävää tehokkuutta CRLitelle ja päivitykset ovat kohtuuttoman suuria. Tämän epäkohdan poistamiseksi on tarkoitus muokata tallennusrakenteen muotoa tarpeettomien tasojen uudelleenrakentamisen ja poistamisen välttämiseksi.
CRLite toimii tällä hetkellä Firefoxissa passiivisessa tilassa ja sitä käytetään rinnakkain OCSP:n kanssa keräämään tilastoja oikeasta toiminnasta. CRLite voidaan vaihtaa päätarkistustilaan; tätä varten sinun on asetettava parametri security.pki.crlite_mode = 2 parametrissa about:config.
Lähde: opennet.ru