Mozilla компаниясы
Әлі күнге дейін қолданылатын хаттамаға негізделген сыртқы қызметтерді пайдаланып сертификатты тексеру
Сертификаттау органдары бұзылған және күшін жойған сертификаттарды блоктау үшін Firefox 2015 жылдан бері орталықтандырылған қара тізімді пайдаланады.
Әдепкі бойынша, OCSP арқылы тексеру мүмкін болмаса, браузер сертификатты жарамды деп санайды. Желілік ақауларға және ішкі желілердегі шектеулерге байланысты қызмет қолжетімсіз болуы мүмкін немесе шабуылдаушылар бұғаттады - MITM шабуылы кезінде OCSP тексеруін айналып өту үшін тексеру қызметіне кіруді блоктау жеткілікті. Мұндай шабуылдардың алдын алу үшін ішінара әдіс енгізілді
CRLite барлық күші жойылған сертификаттар туралы толық ақпаратты оңай жаңартылатын құрылымға біріктіруге мүмкіндік береді, өлшемі тек 1 Мбайт, бұл клиент жағында толық CRL дерекқорын сақтауға мүмкіндік береді.
Браузер күн сайын қайтарып алынған сертификаттар туралы деректердің көшірмесін синхрондау мүмкіндігіне ие болады және бұл дерекқор кез келген жағдайда қол жетімді болады.
CRLite ақпаратты біріктіреді
Жалған позитивтерді жою үшін CRLite қосымша түзетуші сүзгі деңгейлерін енгізді. Құрылымды жасағаннан кейін барлық бастапқы жазбалар ізделеді және кез келген жалған позитивтер анықталады. Осы тексерудің нәтижелері бойынша біріншіге каскадталған және алынған жалған позитивтерді түзететін қосымша құрылым жасалады. Операция бақылауды тексеру кезінде жалған позитивтер толығымен жойылғанша қайталанады. Әдетте, барлық деректерді толығымен қамту үшін 7-10 қабат жасау жеткілікті. Дерекқордың күйі мерзімді синхрондау салдарынан CRL ағымдағы күйінен сәл артта қалғандықтан, CRLite дерекқорын соңғы жаңартудан кейін шығарылған жаңа сертификаттарды тексеру OCSP хаттамасы арқылы, соның ішінде
Bloom сүзгілерін пайдалана отырып, 100 миллион белсенді сертификаттарды және 750 мың қайтарып алынған сертификаттарды қамтитын WebPKI ақпаратының желтоқсандағы бөлігі 1.3 МБ өлшемді құрылымға оралды. Құрылымды құру процесі жеткілікті ресурстарды қажет етеді, бірақ ол Mozilla серверінде орындалады және пайдаланушыға дайын жаңарту беріледі. Мысалы, екілік пішінде генерациялау кезінде пайдаланылатын бастапқы деректер Redis ДҚБЖ сақталған кезде шамамен 16 ГБ жадты қажет етеді, ал он алтылық пішінде барлық сертификат сериялық нөмірлерінің демпі шамамен 6.7 ГБ алады. Барлық қайтарып алынған және белсенді сертификаттарды біріктіру процесі шамамен 40 минутты алады, ал Блум сүзгісі негізінде пакеттелген құрылымды жасау процесі тағы 20 минутты алады.
Қазіргі уақытта Mozilla CRLite дерекқорының күніне төрт рет жаңартылуын қамтамасыз етеді (барлық жаңартулар клиенттерге жеткізілмейді). Дельта жаңартуларын генерациялау әлі жүзеге асырылған жоқ - шығарылымдар үшін дельта жаңартуларын жасау үшін пайдаланылатын bsdiff4 пайдалану CRLite үшін сәйкес тиімділікті қамтамасыз етпейді және жаңартулар негізсіз үлкен. Бұл кемшілікті жою үшін қажетсіз қайта құруды және қабаттарды жоюды жою үшін сақтау құрылымының пішімін қайта өңдеу жоспарлануда.
Қазіргі уақытта CRLite Firefox-та пассивті режимде жұмыс істейді және дұрыс жұмыс туралы статистиканы жинақтау үшін OCSP-пен қатар қолданылады. CRLite негізгі сканерлеу режиміне ауыстырылуы мүмкін, ол үшін about:config ішінде security.pki.crlite_mode = 2 параметрін орнату керек.
Ақпарат көзі: opennet.ru