Huina Mozilla e pili ana i ka hoʻomaka ʻana o ka hoʻāʻo ʻana i ke kūkulu ʻana i ka pō o Firefox i kahi hana hou no ka ʻike ʻana i nā palapala hōʻoia i hoʻopau ʻia - . ʻAe ʻo CRLite iā ʻoe e hoʻonohonoho i ka hōʻoia hōʻoia hoʻopau ʻana i ka palapala hōʻoia e pili ana i kahi waihona i mālama ʻia ma ka ʻōnaehana o ka mea hoʻohana. Ka hoʻokō ʻana o Mozilla CRLite ma lalo o ka laikini MPL 2.0 manuahi. Ua kākau ʻia ke code no ka hana ʻana i ka waihona a me nā mea kikowaena a hele. Hoʻohui ʻia nā ʻāpana mea kūʻai aku iā Firefox no ka heluhelu ʻana i ka ʻikepili mai ka waihona ma ka olelo Rust.
ʻO ka hōʻoia hōʻoia e hoʻohana ana i nā lawelawe o waho e pili ana i ka protocol i hoʻohana mau ʻia (Online Certificate Status Protocol) e pono ai ke komo i ka pūnaewele, alakaʻi i kahi lohi nui i ka hoʻoponopono noi (350ms ma ka awelika) a loaʻa nā pilikia me ka hōʻoia ʻana i ka hūnā (nā kikowaena OCSP e pane ana i nā noi e loaʻa ka ʻike e pili ana i nā palapala hōʻoia, hiki ke hoʻohana ʻia e hoʻoholo inā he aha nā pūnaewele i wehe ʻia e ka mea hoʻohana). Aia kekahi hiki ke nānā i nā papa inoa kūloko (Certificate Revocation List), akā ʻo ka hemahema o kēia ʻano ka nui loa o ka ʻikepili i hoʻoiho ʻia - i kēia manawa ka waihona o nā palapala hōʻoia i hoʻopau ʻia e noho ana ma kahi o 300 MB a ke hoʻomau nei ka ulu ʻana.
No ka pale ʻana i nā palapala hōʻoia i hoʻopaʻa ʻia a hoʻopau ʻia e nā mana hōʻoia, ua hoʻohana ʻo Firefox i kahi papa inoa ʻeleʻele kikowaena mai 2015. i hui pū ʻia me ke kāhea ʻana i ka lawelawe e ʻike i ka hana ʻino. OneCRL, like ma Chrome, hana ma ke ʻano he loulou waena e hōʻuluʻulu i nā papa inoa CRL mai nā mana hōʻoia a hāʻawi i kahi lawelawe OCSP kikowaena hoʻokahi no ka nānā ʻana i nā palapala hōʻoia i hoʻopau ʻia, e hiki ai ke hoʻouna pololei i nā noi i nā mana hōʻoia. ʻOiai ka nui o ka hana e hoʻomaikaʻi i ka hilinaʻi o ka lawelawe hōʻoia hōʻoia pūnaewele, hōʻike ka ʻikepili telemetry i ʻoi aku ma mua o 7% o ka OCSP noi manawa manawa (he mau makahiki i hala aku nei he 15%) kēia helu.
Ma ka maʻamau, inā hiki ʻole ke hōʻoia ma o OCSP, manaʻo ka polokalamu kele i ka palapala hōʻoia. ʻAʻole hiki ke loaʻa ka lawelawe ma muli o nā pilikia pūnaewele a me nā kaohi ʻana i nā pūnaewele i loko, a i ʻole ʻia e nā mea hoʻouka - e kāpae i ka nānā OCSP i ka wā o ka hoʻouka ʻana o MITM, e kāohi wale i ke komo ʻana i ka lawelawe nānā. No ka pale ʻana i kēlā mau hoʻouka kaua, ua hoʻokō ʻia kahi ʻenehana , hiki iā ʻoe ke mālama i kahi hewa komo OCSP a i ʻole ka loaʻa ʻole o OCSP ma ke ʻano he pilikia me ka palapala hōʻoia, akā he koho kēia hiʻohiʻona a koi i ka hoʻopaʻa inoa kūikawā o ka palapala.
ʻAe ʻo CRLite iā ʻoe e hoʻohui i ka ʻike piha e pili ana i nā palapala hōʻoia i hoʻopau ʻia i loko o kahi hoʻolālā maʻalahi, ʻo 1 MB wale nō ka nui, e hiki ai ke mālama i kahi waihona CRL piha ma ka ʻaoʻao o ka mea kūʻai aku.
Hiki i ka polokalamu kele pūnaewele ke hoʻonohonoho i kāna kope o ka ʻikepili e pili ana i nā palapala hōʻoia i hoʻopau ʻia i kēlā me kēia lā, a e loaʻa kēia waihona ma lalo o nā kūlana.
Hoʻohui ʻo CRLite i ka ʻike mai , he moʻolelo lehulehu o nā palapala hōʻoia i hoʻopuka ʻia a hoʻopau ʻia, a me nā hopena o nā palapala hōʻoia ma ka Pūnaewele (ua hōʻiliʻili ʻia nā papa inoa CRL o nā mana hōʻoia a hōʻuluʻulu ʻia ka ʻike e pili ana i nā palapala hōʻoia āpau). Hoʻopili ʻia ka ʻikepili me ka hoʻohana ʻana i ka cascading , kahi hanana probabilistic e hiki ai i ka ʻike hoʻopunipuni o kahi mea i nalowale, akā ʻaʻole i hoʻokaʻawale i kahi mea i loaʻa (ʻo ia hoʻi, me kahi kūpono, hiki ke hōʻoia i ka hōʻoia pololei, akā ua hōʻoia ʻia nā palapala hōʻoia e ʻike ʻia).
No ka hoʻopau ʻana i nā hopena maikaʻi ʻole, ua hoʻokomo ʻo CRLite i nā pae kānana hoʻoponopono hou. Ma hope o ka hana ʻana i ke ʻano, ʻimi ʻia nā moʻolelo kumu a pau a ʻike ʻia nā mea maikaʻi ʻole. Ma muli o nā hopena o kēia hōʻoia, ua hana ʻia kahi hale hou, i hoʻopili ʻia i ka mea mua a hoʻoponopono i nā hopena maikaʻi ʻole. Hoʻopau hou ʻia ka hana a hiki i ka hoʻopau ʻia ʻana o nā hopena maikaʻi ʻole i ka wā o ka nānā ʻana. ʻO ka maʻamau, ʻo ka hana ʻana i nā ʻāpana 7-10 ua lawa ia e uhi pono i nā ʻikepili āpau. Ma muli o ka mokuʻāina o ka waihona, ma muli o ka hoʻonohonoho ʻana i kēlā me kēia manawa, ua emi iki ma hope o ke kūlana o kēia manawa o ka CRL, ke nānā ʻana i nā palapala hōʻoia hou i hoʻopuka ʻia ma hope o ka hoʻopiʻi hope ʻana o ka waihona CRLite e lawe ʻia me ka protocol OCSP, me ka hoʻohana ʻana i ka (ʻO kahi pane OCSP i hōʻoia ʻia e ka mana hōʻoia e hoʻouna ʻia e ka server e lawelawe ana i ka pūnaewele i ka wā e kūkākūkā ai i kahi pilina TLS).
Me ka hoʻohana ʻana i nā kānana Bloom, ua hiki ke hoʻopili ʻia ka ʻāpana o Dekemaba o ka ʻike mai WebPKI, e uhi ana i 100 miliona mau palapala ikaika a me 750 tausani mau palapala hōʻoia i hoʻopau ʻia, hiki ke hoʻopili ʻia i loko o kahi ʻano o 1.3 MB ka nui. ʻO ke kaʻina hana hoʻolālā he mea waiwai nui, akā hana ʻia ma ka kikowaena Mozilla a hāʻawi ʻia ka mea hoʻohana i kahi hoʻonui i mākaukau. No ka laʻana, ma ke ʻano binary, ʻo ka ʻikepili kumu i hoʻohana ʻia i ka wā o ka hanauna e pono ai ma kahi o 16 GB o ka hoʻomanaʻo ke mālama ʻia i ka Redis DBMS, a ma ke ʻano hexadecimal, ʻo ka hoʻolei ʻana o nā helu serial palapala hōʻoia ma kahi o 6.7 GB. ʻO ke kaʻina hana o ka hōʻuluʻulu ʻana i nā palapala hōʻoia i hoʻopau ʻia a paʻa hoʻi ma kahi o 40 mau minuke, a ʻo ke kaʻina hana o ka hoʻokumu ʻana i kahi hale i hoʻopili ʻia e pili ana i ka kānana Bloom he 20 mau minuke.
Ke hōʻoia nei ʻo Mozilla i kēia manawa e hōʻano hou ʻia ka waihona CRLite ʻehā manawa i ka lā (ʻaʻole hāʻawi ʻia nā mea hou i nā mea kūʻai aku). ʻAʻole i hoʻokō ʻia ka hana hou ʻana o nā delta - ka hoʻohana ʻana o bsdiff4, i hoʻohana ʻia e hana i nā hōʻano delta no ka hoʻokuʻu ʻana, ʻaʻole ia e hāʻawi i ka pono kūpono no CRLite a ʻo ka nui o nā mea hou. No ka hoʻopau ʻana i kēia drawback, ua hoʻolālā ʻia e hana hou i ke ʻano o ka hale waihona e hoʻopau i ke kūkulu hou ʻana a me ka holoi ʻana i nā papa.
Ke hana nei ʻo CRLite ma Firefox ma ke ʻano passive a hoʻohana like ʻia me OCSP e hōʻiliʻili i nā helu e pili ana i ka hana kūpono. Hiki ke hoʻololi ʻia ʻo CRLite i ke ʻano scan nui; no ka hana ʻana i kēia, pono ʻoe e hoʻonohonoho i ka parameter security.pki.crlite_mode = 2 ma kahi o:config.
Source: opennet.ru