Mozilla ընկերություն
Վկայագրի ստուգում արտաքին ծառայությունների միջոցով՝ հիմնված դեռ օգտագործվող արձանագրության վրա
Հավաստագրման մարմինների կողմից վտանգված և չեղարկված վկայագրերն արգելափակելու համար Firefox-ը 2015 թվականից օգտագործում է կենտրոնացված սև ցուցակը։
Լռելյայնորեն, եթե անհնար է ստուգել OCSP-ի միջոցով, զննարկիչը վկայականը վավեր է համարում: Ծառայությունը կարող է անհասանելի լինել ցանցի խնդիրների և ներքին ցանցերի սահմանափակումների պատճառով կամ արգելափակվել հարձակվողների կողմից. MITM հարձակման ժամանակ OCSP ստուգումը շրջանցելու համար պարզապես արգելափակել մուտքը ստուգման ծառայություն: Մասամբ նման հարձակումները կանխելու համար ներդրվել է տեխնիկա
CRLite-ը թույլ է տալիս համախմբել բոլոր չեղարկված վկայագրերի մասին ամբողջական տեղեկատվությունը հեշտությամբ թարմացվող կառուցվածքում՝ ընդամենը 1 ՄԲ չափով, ինչը հնարավորություն է տալիս պահել CRL տվյալների ամբողջական բազան հաճախորդի կողմից:
Բրաուզերը կկարողանա ամեն օր համաժամացնել չեղյալ համարվող վկայագրերի մասին տվյալների իր պատճենը, և այս տվյալների բազան հասանելի կլինի ցանկացած պայմաններում:
CRLite-ը միավորում է տեղեկատվությունը
Կեղծ դրական արդյունքները վերացնելու համար CRLite-ը ներկայացրել է լրացուցիչ ուղղիչ ֆիլտրի մակարդակներ: Կառուցվածքը ստեղծելուց հետո բոլոր աղբյուրների գրառումները որոնվում են և հայտնաբերվում են կեղծ պոզիտիվներ: Այս ստուգման արդյունքների հիման վրա ստեղծվում է լրացուցիչ կառույց, որը կասկադավորվում է առաջինի վրա և ուղղում ստացված կեղծ պոզիտիվները: Գործողությունը կրկնվում է այնքան ժամանակ, մինչև հսկողության ստուգման ժամանակ կեղծ դրական արդյունքներն ամբողջությամբ վերանան: Սովորաբար, 7-10 շերտ ստեղծելը բավարար է բոլոր տվյալները ամբողջությամբ ծածկելու համար: Քանի որ տվյալների բազայի վիճակը, պարբերական համաժամացման պատճառով, փոքր-ինչ հետ է մնում CRL-ի ներկայիս վիճակից, CRLite տվյալների բազայի վերջին թարմացումից հետո տրված նոր վկայագրերի ստուգումն իրականացվում է OCSP արձանագրության միջոցով, ներառյալ՝ օգտագործելով
Օգտագործելով Bloom ֆիլտրերը, WebPKI-ի դեկտեմբեր ամսվա տեղեկատվության հատվածը, որն ընդգրկում է 100 միլիոն ակտիվ վկայական և 750 հազար չեղյալ հայտարարված վկայական, կարողացավ փաթեթավորվել 1.3 ՄԲ չափի կառուցվածքում: Կառուցվածքի ստեղծման գործընթացը բավականին ռեսուրսներ է պահանջում, բայց այն իրականացվում է Mozilla սերվերի վրա, և օգտագործողին տրվում է պատրաստի թարմացում։ Օրինակ, երկուական ձևով, գեներացման ընթացքում օգտագործվող աղբյուրի տվյալները պահանջում են մոտ 16 ԳԲ հիշողություն, երբ պահվում է Redis DBMS-ում, իսկ տասնվեցական ձևով, բոլոր սերիական համարների գաղտնալսումը տևում է մոտ 6.7 ԳԲ: Բոլոր չեղյալ և ակտիվ վկայագրերի համախմբման գործընթացը տևում է մոտ 40 րոպե, իսկ Bloom ֆիլտրի հիման վրա փաթեթավորված կառուցվածք ստեղծելու գործընթացը տևում է ևս 20 րոպե:
Ներկայումս Mozilla-ն ապահովում է, որ CRLite տվյալների բազան թարմացվում է օրական չորս անգամ (ոչ բոլոր թարմացումներն են առաքվում հաճախորդներին): Դելտա թարմացումների ստեղծումը դեռ չի իրականացվել. bsdiff4-ի օգտագործումը, որն օգտագործվում է թողարկումների համար դելտա թարմացումներ ստեղծելու համար, չի ապահովում CRLite-ի համար համապատասխան արդյունավետություն, և թարմացումներն անհիմն մեծ են: Այս թերությունը վերացնելու համար նախատեսվում է վերամշակել պահեստավորման կառուցվածքի ձևաչափը՝ շերտերի անհարկի վերակառուցումն ու ջնջումը վերացնելու համար:
CRLite-ը ներկայումս աշխատում է Firefox-ում պասիվ ռեժիմով և օգտագործվում է OCSP-ին զուգահեռ՝ ճիշտ աշխատանքի մասին վիճակագրություն հավաքելու համար: CRLite-ը կարող է անցնել հիմնական սկանավորման ռեժիմին, դրա համար անհրաժեշտ է սահմանել պարամետրը security.pki.crlite_mode = 2 about:config-ում:
Source: opennet.ru