Perusahaan Mozilla
Verifikasi sertifikat nggunakake layanan eksternal adhedhasar protokol sing isih digunakake
Kanggo mblokir sertifikat sing wis dikompromi lan dicabut dening panguwasa sertifikasi, Firefox wis nggunakake dhaptar ireng terpusat wiwit 2015.
Kanthi gawan, yen ora bisa verifikasi liwat OCSP, browser nganggep sertifikat kasebut sah. Layanan kasebut bisa uga ora kasedhiya amarga masalah jaringan lan watesan ing jaringan internal, utawa diblokir dening panyerang - kanggo ngliwati pemeriksaan OCSP sajrone serangan MITM, cukup mblokir akses menyang layanan mriksa. Sebagian kanggo nyegah serangan kasebut, teknik wis ditindakake
CRLite ngidini sampeyan nggabungake informasi lengkap babagan kabeh sertifikat sing dicabut dadi struktur sing gampang dianyari, mung ukuran 1 MB, sing ndadekake bisa nyimpen database CRL lengkap ing sisih klien.
Browser bakal bisa nyinkronake salinan data babagan sertifikat sing dicabut saben dina, lan database iki bakal kasedhiya ing kahanan apa wae.
CRLite nggabungke informasi saka
Kanggo ngilangi positip palsu, CRLite wis ngenalake level filter korektif tambahan. Sawise nggawe struktur kasebut, kabeh cathetan sumber ditelusuri lan ana positip palsu sing diidentifikasi. Adhedhasar asil pamriksan iki, struktur tambahan digawe, sing disambungake menyang sing pertama lan mbenerake asil positif palsu. Operasi kasebut diulang nganti positip palsu sajrone mriksa kontrol rampung diilangi. Biasane, nggawe 7-10 lapisan cukup kanggo nutupi kabeh data. Wiwit status database, amarga sinkronisasi periodik, rada ketinggalan ing kahanan saiki CRL, mriksa sertifikat anyar sing ditanggepi sawise nganyari pungkasan database CRLite ditindakake kanthi nggunakake protokol OCSP, kalebu nggunakake
Nggunakake saringan Bloom, irisan informasi Desember saka WebPKI, kalebu 100 yuta sertifikat aktif lan 750 ewu sertifikat sing dicabut, bisa dikemas dadi struktur ukuran 1.3 MB. Proses generasi struktur cukup intensif sumber daya, nanging ditindakake ing server Mozilla lan pangguna diwenehi nganyari sing wis siap. Contone, ing wangun binar, data sumber digunakake sak generasi mbutuhake bab 16 GB memori nalika disimpen ing Redis DBMS, lan ing wangun heksadesimal, mbucal kabeh nomer serial certificate njupuk bab 6.7 GB. Proses nglumpukake kabeh sertifikat sing dicabut lan aktif mbutuhake udakara 40 menit, lan proses ngasilake struktur rangkep adhedhasar panyaring Bloom butuh 20 menit liyane.
Mozilla saiki njamin yen database CRLite dianyari kaping papat dina (ora kabeh nganyari dikirim menyang klien). Generasi nganyari delta durung dileksanakake - panggunaan bsdiff4, digunakake kanggo nggawe nganyari delta kanggo rilis, ora nyedhiyakake efisiensi sing cukup kanggo CRLite lan nganyari ora cukup gedhe. Kanggo ngilangi kekurangan iki, direncanakake kanggo ngolah ulang format struktur panyimpenan kanggo ngilangi pambangunan lan mbusak lapisan sing ora perlu.
CRLite saiki bisa digunakake ing Firefox ing mode pasif lan digunakake bebarengan karo OCSP kanggo nglumpukake statistik babagan operasi sing bener. CRLite bisa diowahi menyang mode scan utama, kanggo nindakake iki, sampeyan kudu nyetel parameter security.pki.crlite_mode = 2 ing babagan:config.
Source: opennet.ru