Şirketa Mozilla
Verastkirina sertîfîkayê bi karanîna karûbarên derveyî li ser bingeha protokola ku hîn jî tê bikar anîn
Ji bo astengkirina sertîfîkayên ku ji hêla rayedarên pejirandinê ve hatine desteser kirin û betal kirin, Firefox ji 2015-an vir ve navnîşek reş a navendî bikar tîne.
Bi xwerû, ger ne gengaz be ku bi OCSP verast bike, gerok sertîfîkayê derbasdar dibîne. Dibe ku karûbar ji ber pirsgirêkên torê û sînorkirinên li ser torên hundurîn peyda nebe, an ji hêla êrîşkaran ve were asteng kirin - ji bo ku di dema êrîşek MITM de kontrolkirina OCSP derbas bikin, tenê gihîştina karûbarê kontrolê asteng bikin. Qismî ji bo pêşîgirtina li van êrîşan, teknîkek hatiye sepandin
CRLite dihêle hûn agahdariya bêkêmasî li ser hemî sertîfîkayên betalkirî di nav avahiyek bi hêsanî nûvekirî de, bi mezinahiya tenê 1 MB, yek bikin, ku dihêle hûn databasek bêkêmasî ya CRL li milê xerîdar hilînin.
Gerok dê bikaribe rojane kopiya xwe ya daneyên derheqê sertîfîkayên betalkirî hevdeng bike, û ev databas dê di bin her şert û mercî de peyda bibe.
CRLite agahdariya ji hev dike
Ji bo rakirina pozîtîfên derewîn, CRLite astên fîlterê rastker ên zêde destnîşan kiriye. Piştî çêkirina strukturê, hemî tomarên çavkaniyê têne lêgerîn kirin û her erênîyên derewîn têne nas kirin. Li ser bingeha encamên vê kontrolê, avahiyek pêvek tê afirandin, ku li ser ya yekem tête avêtin û encamên derewîn ên encam rast dike. Operasyon dubare dibe heya ku di dema kontrolkirina kontrolê de erênîyên derewîn bi tevahî ji holê rabin. Bi gelemperî, çêkirina 7-10 qatan bes e ku hemî daneyan bi tevahî veşêre. Ji ber ku rewşa databasê, ji ber hevdemkirina periyodîk, hinekî li paş rewşa heyî ya CRL-ê dimîne, kontrolkirina sertîfîkayên nû yên ku piştî nûvekirina paşîn a databasa CRLite hatine weşandin, bi karanîna protokola OCSP-ê tête kirin, tevî karanîna
Bi karanîna fîlterên Bloom, perçeya Kanûnê ya agahdariya ji WebPKI, ku 100 mîlyon sertîfîkayên çalak û 750 hezar sertîfîkayên betalkirî vedihewîne, karîbû di nav avahiyek mezinahiya 1.3 MB de were pak kirin. Pêvajoya hilberîna strukturê pir çavkaniyek zexm e, lê ew li ser servera Mozilla tête kirin û ji bikarhêner re nûvekirinek amade tê dayîn. Mînakî, di forma binary de, daneyên çavkaniyê yên ku di hilberînê de têne bikar anîn dema ku di Redis DBMS-ê de tê hilanîn nêzîkê 16 GB bîranîn hewce dike, û di forma hexadecimal de, avêtina hemî jimareyên rêzikên sertîfîkayê bi qasî 6.7 GB digire. Pêvajoya berhevkirina hemî sertîfîkayên betalkirî û çalak bi qasî 40 hûrdem digire, û pêvajoya çêkirina avahiyek pakkirî ya li ser bingeha Parzûna Bloom 20 hûrdemên din digire.
Mozilla naha piştrast dike ku databasa CRLite rojê çar caran tê nûve kirin (ne hemî nûvekirin ji xerîdaran re têne şandin). Nifşa nûvekirinên deltayê hîna nehatiye bicîh kirin - karanîna bsdiff4, ku ji bo afirandina nûvekirinên delta-yê ji bo serbestberdanê tê bikar anîn, ji bo CRLite karîgeriyek têr peyda nake û nûvekirin bê maqûl mezin in. Ji bo rakirina vê kêmasiyê, tê plansaz kirin ku forma strukturê hilanînê ji nû ve were xebitandin da ku ji nû ve avadankirin û jêbirina nehewce ji holê rabike.
CRLite niha di Firefox-ê de di moda pasîf de dixebite û bi OCSP re paralel tê bikar anîn da ku statîstîkên di derbarê xebata rast de berhev bike. CRLite dikare were veguheztin moda lêgerînê ya sereke; ji bo vê yekê, hûn hewce ne ku pîvana ewlehiyê.pki.crlite_mode = 2 li about:config saz bikin.
Source: opennet.ru