Mozilla fyrirtæki
Staðfesting vottorðs með ytri þjónustu byggð á samskiptareglunum sem enn er notuð
Til að loka fyrir vottorð sem hafa verið í hættu og afturkölluð af vottunaryfirvöldum hefur Firefox notað miðlægan svartan lista síðan 2015
Sjálfgefið, ef það er ómögulegt að sannreyna í gegnum OCSP, telur vafrinn vottorðið gilt. Þjónustan gæti verið ófáanleg vegna netvandamála og takmarkana á innri netkerfum, eða lokuð af árásarmönnum - til að komast framhjá OCSP eftirlitinu meðan á MITM árás stendur skaltu einfaldlega loka fyrir aðgang að eftirlitsþjónustunni. Að hluta til til að koma í veg fyrir slíkar árásir hefur tækni verið innleidd
CRLite gerir þér kleift að sameina heildarupplýsingar um öll afturkölluð skilríki í auðveldlega uppfærða uppbyggingu, aðeins 1 MB að stærð, sem gerir þér kleift að geyma heilan CRL gagnagrunn á biðlarahlið.
Vafrinn mun geta samstillt afrit sitt af gögnum um afturkölluð skilríki daglega og þessi gagnagrunnur verður aðgengilegur við hvaða aðstæður sem er.
CRLite sameinar upplýsingar frá
Til að útrýma fölskum jákvæðum, hefur CRLite innleitt fleiri leiðréttingarsíustig. Eftir að skipulagið hefur verið búið til er leitað í öllum upprunaskrám og allar rangar jákvæðar greindar. Byggt á niðurstöðum þessarar athugunar er viðbótarbygging búin til, sem er sett á þann fyrsta og leiðréttir rangar jákvæðar niðurstöður. Aðgerðin er endurtekin þar til rangar jákvæðar niðurstöður við eftirlitsskoðun eru algjörlega eytt. Venjulega nægir að búa til 7-10 lög til að ná alveg yfir öll gögn. Þar sem ástand gagnagrunnsins, vegna reglubundinnar samstillingar, er örlítið á eftir núverandi ástandi CRL, er eftirlit með nýjum skírteinum sem gefin eru út eftir síðustu uppfærslu á CRLite gagnagrunninum fram með OCSP samskiptareglum, þar á meðal með því að nota
Með því að nota Bloom síur var hægt að pakka desembersneiðinni af upplýsingum frá WebPKI, sem nær yfir 100 milljónir virkra vottorða og 750 þúsund afturkallaða vottorða, í 1.3 MB að stærð. Uppbyggingarferlið er frekar auðlindafrekt, en það er framkvæmt á Mozilla þjóninum og notandinn fær tilbúna uppfærslu. Til dæmis, í tvíundarformi, þurfa upprunagögnin sem notuð eru við myndun um 16 GB af minni þegar þau eru geymd í Redis DBMS, og á sextándu formi tekur dump af öllum raðnúmerum skírteina um 6.7 GB. Ferlið við að safna saman öllum afturkölluðum og virkum vottorðum tekur um 40 mínútur og ferlið við að búa til pakkaða uppbyggingu sem byggir á Bloom síunni tekur 20 mínútur í viðbót.
Mozilla tryggir eins og er að CRLite gagnagrunnurinn sé uppfærður fjórum sinnum á dag (ekki allar uppfærslur eru afhentar viðskiptavinum). Myndun delta uppfærslu hefur ekki enn verið innleidd - notkun bsdiff4, notað til að búa til delta uppfærslur fyrir útgáfur, veitir ekki fullnægjandi skilvirkni fyrir CRLite og uppfærslurnar eru óeðlilega miklar. Til að koma í veg fyrir þennan galla er fyrirhugað að endurvinna snið geymslubyggingarinnar til að koma í veg fyrir óþarfa endurbyggingu og eyðingu laga.
CRLite virkar eins og er í Firefox í óvirkri stillingu og er notað samhliða OCSP til að safna tölfræði um rétta aðgerð. CRLite er hægt að skipta yfir í aðalskannaham; til að gera þetta þarftu að stilla færibreytuna security.pki.crlite_mode = 2 í about:config.
Heimild: opennet.ru