Cuideachta Mozilla faoi thús na tástála i dtógálacha oíche de Firefox meicníocht nua chun deimhnithe cúlghairthe a bhrath - . Ligeann CRLite duit seiceáil cúlghairme teastais éifeachtach a eagrú i gcoinne bunachar sonraí arna óstáil ar chóras an úsáideora. Cur i bhfeidhm CRLite Mozilla faoin gceadúnas MPL 2.0 saor in aisce. Tá an cód chun an bunachar sonraí agus comhpháirteanna an fhreastalaí a ghiniúint scríofa isteach agus Téigh. Cuireadh páirteanna cliant le Firefox chun sonraí ón mbunachar sonraí a léamh sa teanga Rust.
Fíorú teastais ag baint úsáide as seirbhísí seachtracha bunaithe ar an bprótacal atá fós in úsáid Éilíonn (Prótacal Stádas Teastais Ar Líne) rochtain líonra ráthaithe, cuireann sé moill shuntasach ar phróiseáil iarratas (350ms ar an meán) agus bíonn fadhbanna aige maidir le rúndacht a chinntiú (go bhfaigheann freastalaithe OCSP a fhreagraíonn d’iarratais faisnéis faoi dheimhnithe sonracha, ar féidir a úsáid chun a mheas an bhfuil nó nach bhfuil. láithreáin a osclaíonn an t-úsáideoir). Tá an fhéidearthacht ann freisin seiceáil áitiúil i gcoinne liostaí (Liosta Cúlghairme Teastais), ach is é an míbhuntáiste a bhaineann leis an modh seo ná méid an-mhór na sonraí íoslódála - faoi láthair tá thart ar 300 MB ar bhunachar sonraí na ndeimhnithe cúlghairthe agus leanann a fhás.
Chun bac a chur ar dheimhnithe atá curtha i gcontúirt agus cúlghairthe ag údaráis deimhniúcháin, d'úsáid Firefox liosta dubh láraithe ó 2015 in éineacht le glao chun seirbhíse chun gníomhaíocht mhailíseach féideartha a aithint. OneCRL, cosúil le in Chrome, feidhmíonn sé mar nasc idirmheánach a chomhiomlánaíonn liostaí CRL ó údaráis deimhniúcháin agus a sholáthraíonn seirbhís lárnach amháin OCSP chun deimhnithe cúlghairthe a sheiceáil, rud a fhágann nach féidir iarratais a sheoladh go díreach chuig údaráis deimhniúcháin. In ainneoin go leor oibre chun iontaofacht na seirbhíse fíoraithe deimhnithe ar líne a fheabhsú, léiríonn sonraí teiliméadrachta go bhfuil níos mó ná 7% d’iarratais OCSP ar am saor (cúpla bliain ó shin bhí an figiúr seo 15%).
De réir réamhshocraithe, mura féidir é a fhíorú trí OCSP, measann an brabhsálaí go bhfuil an deimhniú bailí. D'fhéadfadh an tseirbhís a bheith ar fáil mar gheall ar fhadhbanna líonra agus srianta ar líonraí inmheánacha, nó bac ionsaitheoirí - a sheachbhóthar seiceáil OCSP le linn ionsaí MITM, bac a chur ar rochtain ar an tseirbhís seiceála. Go páirteach chun ionsaithe den sórt sin a chosc, tá teicníc curtha i bhfeidhm , a ligeann duit earráid rochtana OCSP nó neamh-infhaighteacht OCSP a chóireáil mar fhadhb leis an deimhniú, ach tá an ghné seo roghnach agus éilíonn sé clárú speisialta ar an deimhniú.
Ligeann CRLite duit faisnéis iomlán faoi gach teastas cúlghairthe a chomhdhlúthú i struchtúr atá nuashonraithe go héasca, ach 1 MB i méid, rud a fhágann gur féidir bunachar sonraí iomlán CRL a stóráil ar thaobh an chliaint.
Beidh an brabhsálaí in ann a chóip de na sonraí faoi dheimhnithe cúlghairthe a shioncronú go laethúil, agus beidh an bunachar sonraí seo ar fáil faoi aon choinníollacha.
Comhcheanglaíonn CRLite faisnéis ó , loga poiblí de na deimhnithe go léir a eisíodh agus a cúlghaireadh, agus torthaí na ndeimhnithe scanadh ar an Idirlíon (bailítear liostaí éagsúla CRL d’údaráis deimhniúcháin agus comhiomlánaítear faisnéis faoi na deimhnithe go léir atá ar eolas). Déantar sonraí a phacáistiú trí úsáid a bhaint as cascáidiú , struchtúr dóchúil a cheadaíonn braite bréagach d’eilimint atá ar iarraidh, ach a eisiann eilimint atá ann cheana a fhágáil ar lár (i.e., le dóchúlacht áirithe, is féidir deimhneach bréagach a bheith ann do dheimhniú ceart, ach ráthaítear go n-aithneofar deimhnithe cúlghairthe).
Chun deireadh a chur le dearfacha bréagacha, tá leibhéil bhreise scagaire ceartaitheacha tugtha isteach ag CRLite. Tar éis an struchtúr a ghiniúint, déantar gach taifead foinse a chuardach agus sainaithnítear aon dearfach bréagach. Bunaithe ar thorthaí an tseiceála seo, cruthaítear struchtúr breise, a eascraítear ar an gcéad cheann agus a cheartaíonn na dearfacha bréagacha a eascraíonn as. Déantar an oibríocht arís agus arís eile go dtí go gcuirtear deireadh go hiomlán le dearfacha bréagacha le linn an tseiceáil rialaithe. De ghnáth, is leor 7-10 sraitheanna a chruthú chun na sonraí go léir a chlúdach go hiomlán. Ós rud é go bhfuil staid an bhunachair shonraí, mar gheall ar shioncrónú tréimhsiúil, beagán taobh thiar de staid reatha an CRL, déantar seiceáil ar dheimhnithe nua a eisíodh tar éis an nuashonrú deiridh ar bhunachar sonraí CRLite ag baint úsáide as an bprótacal OCSP, lena n-áirítear úsáid a bhaint as an (tarchuireann an freastalaí a fhreastalaíonn ar an suíomh freagra OCSP deimhnithe ag údarás deimhniúcháin agus nasc TLS á chaibidil).
Agus scagairí Bloom á n-úsáid agat, bhí slis na Nollag faisnéise ó WebPKI, a chlúdaigh 100 milliún teastas gníomhach agus 750 míle teastas cúlghairthe, in ann a phacáil isteach i struchtúr de 1.3 MB i méid. Tá an próiseas giniúna struchtúir sách dian ar acmhainní, ach déantar é ar fhreastalaí Mozilla agus tugtar nuashonrú réidh don úsáideoir. Mar shampla, i bhfoirm dhénártha, éilíonn na sonraí foinse a úsáidtear le linn giniúna thart ar 16 GB de chuimhne nuair a stóráiltear iad sa Redis DBMS, agus i bhfoirm heicsidheachúil, glacann dumpáil de na sraithuimhreacha deimhnithe go léir thart ar 6.7 GB. Tógann an próiseas comhiomlánaithe go léir deimhnithe cúlghairthe agus gníomhach thart ar 40 nóiméad, agus tógann an próiseas a ghiniúint struchtúr pacáistithe bunaithe ar an scagaire Bloom 20 nóiméad eile.
Cinntíonn Mozilla faoi láthair go ndéantar bunachar sonraí CRLite a nuashonrú ceithre huaire sa lá (ní sheachadtar gach nuashonrú do chliaint). Níl giniúint nuashonruithe delta curtha i bhfeidhm go fóill - ní sholáthraíonn úsáid bsdiff4, a úsáidtear chun nuashonruithe deilt a chruthú le haghaidh eisiúintí, éifeachtúlacht leordhóthanach do CRLite agus tá na nuashonruithe míréasúnta mór. Chun deireadh a chur leis an míbhuntáiste seo, tá sé beartaithe formáid an struchtúir stórála a athoibriú chun deireadh a chur le hatógáil neamhriachtanach agus scriosadh sraitheanna.
Oibríonn CRLite i mód éighníomhach i Firefox faoi láthair agus úsáidtear é i gcomhthreo le OCSP chun staitisticí a bhailiú faoin oibríocht cheart. Is féidir CRLite a athrú go dtí an príomh-mhód scanadh; chun é seo a dhéanamh, ní mór duit an paraiméadar security.pki.crlite_mode = 2 a shocrú i about:config.
Foinse: oscailtenet.ru