Mozilla fyrirtæki um upphaf prófunar í næturgerð Firefox, nýtt kerfi til að greina afturkölluð skilríki - . CRLite gerir þér kleift að skipuleggja skilvirka afturköllun vottorða gegn gagnagrunni sem hýst er á kerfi notandans. CRLite útfærsla Mozilla undir ókeypis MPL 2.0 leyfinu. Kóðinn til að búa til gagnagrunninn og miðlarahluti er skrifaður inn og Farðu. Viðskiptavinahlutum bætt við Firefox til að lesa gögn úr gagnagrunninum á ryðmáli.
Staðfesting vottorðs með ytri þjónustu byggð á samskiptareglunum sem enn er notuð (Online Certificate Status Protocol) krefst tryggðs netaðgangs, leiðir til verulegrar töf á vinnslu beiðna (350 ms að meðaltali) og á í vandræðum með að tryggja trúnað (OCSP netþjónar sem svara beiðnum fá upplýsingar um tiltekin skilríki, sem hægt er að nota til að dæma um hvort hvaða síður sem notandinn opnar). Einnig er möguleiki á staðbundinni athugun á móti listum (Certificate Revocation List), en ókosturinn við þessa aðferð er mjög stór stærð niðurhalaðra gagna - eins og er tekur gagnagrunnurinn yfir afturkallaða skírteini um 300 MB og vöxtur hans heldur áfram.
Til að loka fyrir vottorð sem hafa verið í hættu og afturkölluð af vottunaryfirvöldum hefur Firefox notað miðlægan svartan lista síðan 2015 ásamt þjónustukalli til að bera kennsl á hugsanlega skaðsemi. OneCRL, eins og í Chrome, virkar sem millihlekkur sem safnar saman CRL-listum frá vottunaryfirvöldum og veitir eina miðlæga OCSP-þjónustu til að athuga afturkölluð skilríki, sem gerir það mögulegt að senda beiðnir beint til vottunaryfirvalda. Þrátt fyrir mikla vinnu við að bæta áreiðanleika vottorðsstaðfestingarþjónustunnar á netinu sýna fjarmælingargögn að meira en 7% OCSP-beiðna stöðvast (fyrir nokkrum árum var þessi tala 15%).
Sjálfgefið, ef það er ómögulegt að sannreyna í gegnum OCSP, telur vafrinn vottorðið gilt. Þjónustan gæti verið ófáanleg vegna netvandamála og takmarkana á innri netkerfum, eða lokuð af árásarmönnum - til að komast framhjá OCSP eftirlitinu meðan á MITM árás stendur skaltu einfaldlega loka fyrir aðgang að eftirlitsþjónustunni. Að hluta til til að koma í veg fyrir slíkar árásir hefur tækni verið innleidd , sem gerir þér kleift að meðhöndla OCSP aðgangsvillu eða OCSP óaðgengi sem vandamál með vottorðið, en þessi eiginleiki er valfrjáls og krefst sérstakrar skráningar á vottorðinu.
CRLite gerir þér kleift að sameina heildarupplýsingar um öll afturkölluð skilríki í auðveldlega uppfærða uppbyggingu, aðeins 1 MB að stærð, sem gerir þér kleift að geyma heilan CRL gagnagrunn á biðlarahlið.
Vafrinn mun geta samstillt afrit sitt af gögnum um afturkölluð skilríki daglega og þessi gagnagrunnur verður aðgengilegur við hvaða aðstæður sem er.
CRLite sameinar upplýsingar frá , opinber skrá yfir öll útgefin og afturkölluð skírteini og niðurstöður skönnunar skírteina á Netinu (ýmsu CRL listum yfir vottunaryfirvöld er safnað og upplýsingum um öll þekkt skilríki safnað saman). Gögnum er pakkað með því að nota cascading , líkindauppbygging sem leyfir ranga greiningu á týndri þætti, en útilokar að núverandi þáttur sé sleppt (þ.e. með ákveðnum líkum er rangt jákvætt fyrir rétt vottorð möguleg, en afturkallað vottorð er tryggt að auðkennist).
Til að útrýma fölskum jákvæðum, hefur CRLite innleitt fleiri leiðréttingarsíustig. Eftir að skipulagið hefur verið búið til er leitað í öllum upprunaskrám og allar rangar jákvæðar greindar. Byggt á niðurstöðum þessarar athugunar er viðbótarbygging búin til, sem er sett á þann fyrsta og leiðréttir rangar jákvæðar niðurstöður. Aðgerðin er endurtekin þar til rangar jákvæðar niðurstöður við eftirlitsskoðun eru algjörlega eytt. Venjulega nægir að búa til 7-10 lög til að ná alveg yfir öll gögn. Þar sem ástand gagnagrunnsins, vegna reglubundinnar samstillingar, er örlítið á eftir núverandi ástandi CRL, er eftirlit með nýjum skírteinum sem gefin eru út eftir síðustu uppfærslu á CRLite gagnagrunninum fram með OCSP samskiptareglum, þar á meðal með því að nota (OCSP svar vottað af vottunaryfirvöldum er sent af þjóninum sem þjónar síðunni þegar samið er um TLS tengingu).
Með því að nota Bloom síur var hægt að pakka desembersneiðinni af upplýsingum frá WebPKI, sem nær yfir 100 milljónir virkra vottorða og 750 þúsund afturkallaða vottorða, í 1.3 MB að stærð. Uppbyggingarferlið er frekar auðlindafrekt, en það er framkvæmt á Mozilla þjóninum og notandinn fær tilbúna uppfærslu. Til dæmis, í tvíundarformi, þurfa upprunagögnin sem notuð eru við myndun um 16 GB af minni þegar þau eru geymd í Redis DBMS, og á sextándu formi tekur dump af öllum raðnúmerum skírteina um 6.7 GB. Ferlið við að safna saman öllum afturkölluðum og virkum vottorðum tekur um 40 mínútur og ferlið við að búa til pakkaða uppbyggingu sem byggir á Bloom síunni tekur 20 mínútur í viðbót.
Mozilla tryggir eins og er að CRLite gagnagrunnurinn sé uppfærður fjórum sinnum á dag (ekki allar uppfærslur eru afhentar viðskiptavinum). Myndun delta uppfærslu hefur ekki enn verið innleidd - notkun bsdiff4, notað til að búa til delta uppfærslur fyrir útgáfur, veitir ekki fullnægjandi skilvirkni fyrir CRLite og uppfærslurnar eru óeðlilega miklar. Til að koma í veg fyrir þennan galla er fyrirhugað að endurvinna snið geymslubyggingarinnar til að koma í veg fyrir óþarfa endurbyggingu og eyðingu laga.
CRLite virkar eins og er í Firefox í óvirkri stillingu og er notað samhliða OCSP til að safna tölfræði um rétta aðgerð. CRLite er hægt að skipta yfir í aðalskannaham; til að gera þetta þarftu að stilla færibreytuna security.pki.crlite_mode = 2 í about:config.
Heimild: opennet.ru