Mozilla компаниясы Firefox-тың түнгі жинақтарында күші жойылған сертификаттарды анықтаудың жаңа механизмін тестілеудің басталуы туралы - . CRLite пайдаланушы жүйесінде орналастырылған дерекқорға қарсы тиімді сертификатты қайтарып алуды тексеруді ұйымдастыруға мүмкіндік береді. Mozilla CRLite енгізу тегін MPL 2.0 лицензиясы бойынша. Деректер қоры мен сервер компоненттерін құру коды жазылған және Go. Дерекқордан деректерді оқу үшін Firefox-қа қосылған клиент бөліктері Rust тілінде.
Әлі күнге дейін қолданылатын хаттамаға негізделген сыртқы қызметтерді пайдаланып сертификатты тексеру (Онлайн сертификат күйінің хаттамасы) кепілдік берілген желіге қол жеткізуді талап етеді, сұрауды өңдеудің айтарлықтай кешігуіне әкеледі (орта есеппен 350 мс) және құпиялылықты қамтамасыз ету мәселелері бар (сұрауларға жауап беретін OCSP серверлері нақты сертификаттар туралы ақпаратты алады, олар не екенін анықтау үшін пайдаланылуы мүмкін. пайдаланушы ашатын сайттар). Сондай-ақ тізімдер бойынша жергілікті тексеру мүмкіндігі бар (Сертификаттарды қайтарып алу тізімі), бірақ бұл әдістің кемшілігі жүктелген деректердің өте үлкен өлшемі болып табылады - қазіргі уақытта күші жойылған сертификаттардың деректер базасы шамамен 300 МБ алады және оның өсуі жалғасуда.
Сертификаттау органдары бұзылған және күшін жойған сертификаттарды блоктау үшін Firefox 2015 жылдан бері орталықтандырылған қара тізімді пайдаланады. қызметке шақырумен бірге ықтимал зиянды әрекетті анықтау. OneCRL сияқты Chrome жүйесінде сертификаттау органдарынан CRL тізімдерін біріктіретін аралық сілтеме ретінде әрекет етеді және қайтарып алынған сертификаттарды тексеру үшін бірыңғай орталықтандырылған OCSP қызметін қамтамасыз етеді, бұл сұрауларды сертификаттау органдарына тікелей жібермеуге мүмкіндік береді. Сертификаттарды тексерудің онлайн қызметінің сенімділігін арттыру бойынша көп жұмыстарға қарамастан, телеметрия деректері OCSP сұрауларының 7%-дан астамының күту уақыты бітетінін көрсетеді (бірнеше жыл бұрын бұл көрсеткіш 15%).
Әдепкі бойынша, OCSP арқылы тексеру мүмкін болмаса, браузер сертификатты жарамды деп санайды. Желілік ақауларға және ішкі желілердегі шектеулерге байланысты қызмет қолжетімсіз болуы мүмкін немесе шабуылдаушылар бұғаттады - MITM шабуылы кезінде OCSP тексеруін айналып өту үшін тексеру қызметіне кіруді блоктау жеткілікті. Мұндай шабуылдардың алдын алу үшін ішінара әдіс енгізілді , бұл OCSP қатынасу қатесін немесе OCSP қолжетімсіздігін сертификатқа қатысты мәселе ретінде қарастыруға мүмкіндік береді, бірақ бұл мүмкіндік міндетті емес және сертификатты арнайы тіркеуді талап етеді.
CRLite барлық күші жойылған сертификаттар туралы толық ақпаратты оңай жаңартылатын құрылымға біріктіруге мүмкіндік береді, өлшемі тек 1 Мбайт, бұл клиент жағында толық CRL дерекқорын сақтауға мүмкіндік береді.
Браузер күн сайын қайтарып алынған сертификаттар туралы деректердің көшірмесін синхрондау мүмкіндігіне ие болады және бұл дерекқор кез келген жағдайда қол жетімді болады.
CRLite ақпаратты біріктіреді , барлық берілген және күші жойылған сертификаттардың және Интернеттегі сертификаттарды сканерлеу нәтижелерінің жалпыға қолжетімді журналы (сертификаттау органдарының әртүрлі CRL тізімдері жиналады және барлық белгілі сертификаттар туралы ақпарат жинақталады). Деректер каскадты қолдану арқылы бумаланады , жетіспейтін элементті жалған анықтауға мүмкіндік беретін, бірақ бар элементті жіберіп алуды болдырмайтын ықтималдық құрылымы (яғни, белгілі бір ықтималдықпен дұрыс сертификат үшін жалған оң болуы мүмкін, бірақ күші жойылған куәліктерді анықтауға кепілдік беріледі).
Жалған позитивтерді жою үшін CRLite қосымша түзетуші сүзгі деңгейлерін енгізді. Құрылымды жасағаннан кейін барлық бастапқы жазбалар ізделеді және кез келген жалған позитивтер анықталады. Осы тексерудің нәтижелері бойынша біріншіге каскадталған және алынған жалған позитивтерді түзететін қосымша құрылым жасалады. Операция бақылауды тексеру кезінде жалған позитивтер толығымен жойылғанша қайталанады. Әдетте, барлық деректерді толығымен қамту үшін 7-10 қабат жасау жеткілікті. Дерекқордың күйі мерзімді синхрондау салдарынан CRL ағымдағы күйінен сәл артта қалғандықтан, CRLite дерекқорын соңғы жаңартудан кейін шығарылған жаңа сертификаттарды тексеру OCSP хаттамасы арқылы, соның ішінде (сертификаттау орталығымен куәландырылған OCSP жауабын TLS қосылымы туралы келіссөздер кезінде торапқа қызмет көрсететін сервер жібереді).
Bloom сүзгілерін пайдалана отырып, 100 миллион белсенді сертификаттарды және 750 мың қайтарып алынған сертификаттарды қамтитын WebPKI ақпаратының желтоқсандағы бөлігі 1.3 МБ өлшемді құрылымға оралды. Құрылымды құру процесі жеткілікті ресурстарды қажет етеді, бірақ ол Mozilla серверінде орындалады және пайдаланушыға дайын жаңарту беріледі. Мысалы, екілік пішінде генерациялау кезінде пайдаланылатын бастапқы деректер Redis ДҚБЖ сақталған кезде шамамен 16 ГБ жадты қажет етеді, ал он алтылық пішінде барлық сертификат сериялық нөмірлерінің демпі шамамен 6.7 ГБ алады. Барлық қайтарып алынған және белсенді сертификаттарды біріктіру процесі шамамен 40 минутты алады, ал Блум сүзгісі негізінде пакеттелген құрылымды жасау процесі тағы 20 минутты алады.
Қазіргі уақытта Mozilla CRLite дерекқорының күніне төрт рет жаңартылуын қамтамасыз етеді (барлық жаңартулар клиенттерге жеткізілмейді). Дельта жаңартуларын генерациялау әлі жүзеге асырылған жоқ - шығарылымдар үшін дельта жаңартуларын жасау үшін пайдаланылатын bsdiff4 пайдалану CRLite үшін сәйкес тиімділікті қамтамасыз етпейді және жаңартулар негізсіз үлкен. Бұл кемшілікті жою үшін қажетсіз қайта құруды және қабаттарды жоюды жою үшін сақтау құрылымының пішімін қайта өңдеу жоспарлануда.
Қазіргі уақытта CRLite Firefox-та пассивті режимде жұмыс істейді және дұрыс жұмыс туралы статистиканы жинақтау үшін OCSP-пен қатар қолданылады. CRLite негізгі сканерлеу режиміне ауыстырылуы мүмкін, ол үшін about:config ішінде security.pki.crlite_mode = 2 параметрін орнату керек.
Ақпарат көзі: opennet.ru