Companaidh Mozilla mu thoiseach deuchainn ann an togail oidhche de Firefox inneal ùr airson teisteanasan cùl-ghairm a lorg - . Leigidh CRLite leat sgrùdadh cùl-ghairm teisteanais èifeachdach a chuir air dòigh an aghaidh stòr-dàta air a chumail air siostam an neach-cleachdaidh. Cur an gnìomh CRLite aig Mozilla fo chead MPL 2.0 an-asgaidh. Tha an còd airson an stòr-dàta agus co-phàirtean an fhrithealaiche a chruthachadh sgrìobhte ann agus Rach. Pàirtean teachdaiche air an cur ri Firefox airson dàta bhon stòr-dàta a leughadh ann an cànan Rust.
Dearbhadh teisteanais a’ cleachdadh seirbheisean taobh a-muigh stèidhichte air a’ phròtacal a thathas fhathast a’ cleachdadh (Pròtacal Inbhe Teisteanas Air-loidhne) a’ feumachdainn ruigsinneachd lìonra cinnteach, a’ leantainn gu dàil mhòr ann an giullachd iarrtasan (350ms gu cuibheasach) agus tha duilgheadasan aige le bhith a’ dèanamh cinnteach à dìomhaireachd (bidh luchd-frithealaidh OCSP a’ freagairt iarrtasan a’ faighinn fiosrachadh mu theisteanasan sònraichte, a dh’fhaodar a chleachdadh gus breithneachadh a bheil dè làraich a bhios an neach-cleachdaidh a’ fosgladh). Tha comas ann cuideachd sgrùdadh ionadail a dhèanamh an aghaidh liostaichean (Liosta Cùl-ghairm Teisteanas), ach is e ana-cothrom an dòigh seo meud fìor mhòr an dàta a chaidh a luchdachadh sìos - an-dràsta tha an stòr-dàta de theisteanasan a chaidh a chùl-ghairm a ’fuireach timcheall air 300 MB agus tha am fàs aige a’ leantainn.
Gus casg a chuir air teisteanasan a chaidh a chuir an cunnart agus a chùl-ghairm le ùghdarrasan teisteanais, tha Firefox air liosta dhubh meadhanaichte a chleachdadh bho 2015 còmhla ri gairm gu seirbheis gus gnìomhachd droch-rùnach a chomharrachadh. OneCRL, mar ann an Chrome, ag obair mar cheangal eadar-mheadhanach a bhios a’ cruinneachadh liostaichean CRL bho ùghdarrasan teisteanais agus a’ toirt seachad aon sheirbheis meadhanaichte OCSP airson a bhith a’ sgrùdadh theisteanasan a chaidh a chùl-ghairm, ga dhèanamh comasach gun a bhith a’ cur iarrtasan gu dìreach gu ùghdarrasan teisteanais. A dh’aindeoin mòran obrach gus earbsachd na seirbheis dearbhaidh teisteanais air-loidhne a leasachadh, tha dàta telemetry a’ sealltainn gu bheil còrr air 7% de dh’iarrtasan OCSP a’ dol a-mach (bho chionn beagan bhliadhnaichean bha am figear seo aig 15%).
Gu gnàthach, ma tha e do-dhèanta dearbhadh tro OCSP, tha am brabhsair den bheachd gu bheil an teisteanas dligheach. Is dòcha nach bi an t-seirbheis ri fhaighinn air sgàth duilgheadasan lìonra agus cuingealachaidhean air lìonraidhean a-staigh, no air a bhacadh le luchd-ionnsaigh - gus faighinn seachad air an t-seic OCSP rè ionnsaigh MITM, dìreach cuir casg air ruigsinneachd air an t-seirbheis sgrùdaidh. Gu ìre gus casg a chuir air ionnsaighean mar sin, chaidh innleachd a chuir an gnìomh , a leigeas leat dèiligeadh ri mearachd ruigsinneachd OCSP no dìth OCSP mar dhuilgheadas leis an teisteanas, ach tha am feart seo roghainneil agus feumar clàradh sònraichte den teisteanas.
Leigidh CRLite leat fiosrachadh iomlan mu na teisteanasan uile a chaidh a chùl-ghairm a dhaingneachadh ann an structar a tha furasta ùrachadh, dìreach 1 MB ann am meud, a leigeas leat stòr-dàta CRL iomlan a stòradh air taobh an neach-dèiligidh.
Bidh e comasach don bhrobhsair an leth-bhreac aige den dàta mu theisteanasan a chaidh a chùl-ghairm a shioncronachadh gach latha, agus bidh an stòr-dàta seo ri fhaighinn fo chumhachan sam bith.
Bidh CRLite a’ cothlamadh fiosrachadh bho , log poblach de na teisteanasan uile a chaidh a thoirt a-mach agus a chùl-ghairm, agus toraidhean theisteanasan sganaidh air an eadar-lìn (tha diofar liostaichean CRL de dh’ ùghdarrasan teisteanais air an cruinneachadh agus tha fiosrachadh mu na teisteanasan aithnichte uile air an cruinneachadh). Tha dàta air a phacaigeadh le bhith a’ cleachdadh cascading , structar coltachd a leigeas le lorg meallta a dhèanamh air eileamaid a tha a dhìth, ach a tha a’ dùnadh a-mach gun tèid eileamaid a tha ann mar-thà a dearmad (ie, le coltachd sònraichte, tha e comasach dearbhadh meallta airson teisteanas ceart, ach tha cinnt ann gun tèid teisteanasan air an toirt air ais a chomharrachadh).
Gus cuir às do nithean ceàrr, tha CRLite air ìrean sìoltachain ceartachaidh a bharrachd a thoirt a-steach. Às deidh an structar a chruthachadh, thèid a h-uile clàr stòr a sgrùdadh agus lorgar nithean ceàrr. Stèidhichte air toraidhean an sgrùdaidh seo, tha structar a bharrachd air a chruthachadh, a tha air a sgaoileadh air a 'chiad fhear agus a' ceartachadh nan dearbhaidhean ceàrr. Bidh an obair air a dhèanamh a-rithist gus an tèid cuir às gu tur nithean ceàrr rè an sgrùdaidh smachd. Mar as trice, tha cruthachadh 7-10 sreathan gu leòr airson a h-uile dàta a chòmhdach gu tur. Leis gu bheil staid an stòr-dàta, mar thoradh air sioncronadh bho àm gu àm, beagan air dheireadh air staid làithreach an CRL, thèid sgrùdadh a dhèanamh air teisteanasan ùra a chaidh a thoirt seachad às deidh an ùrachadh mu dheireadh air stòr-dàta CRLite a’ cleachdadh protocol OCSP, a’ toirt a-steach cleachdadh an (bidh freagairt OCSP air a dhearbhadh le ùghdarras teisteanais air a chuir a-mach leis an fhrithealaiche a tha a’ frithealadh na làraich nuair a thathar a’ barganachadh ceangal TLS).
A’ cleachdadh sìoltachain Bloom, bha e comasach an sliseag fiosrachaidh san Dùbhlachd bho WebPKI, a’ còmhdach 100 millean teisteanas gnìomhach agus 750 mìle teisteanas air a chùl-ghairm, a phacadh a-steach do structar meud 1.3 MB. Tha am pròiseas gineadh structar gu math dian air goireasan, ach thèid a choileanadh air frithealaiche Mozilla agus gheibh an neach-cleachdaidh ùrachadh deiseil. Mar eisimpleir, ann an cruth binary, feumaidh an dàta tùsail a thèid a chleachdadh aig àm ginealach timcheall air 16 GB de chuimhne nuair a thèid a stòradh anns an Redis DBMS, agus ann an cruth hexadecimal, bheir dump de na h-àireamhan sreathach teisteanais timcheall air 6.7 GB. Bheir am pròiseas airson a h-uile teisteanas cùl-ghairm agus gnìomhach timcheall air 40 mionaid, agus bheir am pròiseas airson structar pacaichte a chruthachadh stèidhichte air sìoltachan Bloom 20 mionaid eile.
Tha Mozilla an-dràsta a’ dèanamh cinnteach gu bheil an stòr-dàta CRLite air ùrachadh ceithir tursan san latha (chan eil a h-uile ùrachadh air a lìbhrigeadh do luchd-dèiligidh). Cha deach gineadh ùrachaidhean delta a chuir an gnìomh fhathast - chan eil cleachdadh bsdiff4, air a chleachdadh gus ùrachaidhean delta a chruthachadh airson fiosan, a’ toirt seachad èifeachdas iomchaidh airson CRLite agus tha na h-ùrachaidhean mì-reusanta mòr. Gus cur às don eas-bhuannachd seo, thathas an dùil cruth an structair stòraidh ath-obrachadh gus cuir às do ath-thogail neo-riatanach agus cuir às do shreathan.
Tha CRLite an-dràsta ag obair ann am Firefox ann am modh fulangach agus air a chleachdadh ann an co-shìnte ri OCSP gus staitistig a chruinneachadh mun obrachadh cheart. Faodar CRLite atharrachadh gu modh prìomh sgan; gus seo a dhèanamh, feumaidh tu am paramadair security.pki.crlite_mode = 2 a shuidheachadh ann an about:config.
Source: fosgailtenet.ru