Şirketa Mozilla di derbarê destpêkirina ceribandinê de di avahîyên şevê yên Firefox de mekanîzmayek nû ya ji bo tespîtkirina sertîfîkayên betalkirî - . CRLite dihêle hûn kontrolkirina betalkirina sertîfîkayê ya bi bandor li hember databasek ku li ser pergala bikarhêner hatî mêvandar kirin organîze bikin. Pêkanîna CRLite ya Mozilla di bin lîsansa belaş MPL 2.0 de. Koda ji bo çêkirina databas û pêkhateyên serverê tê de têne nivîsandin û Go. Parçeyên xerîdar ji bo xwendina daneya ji databasê li Firefoxê hatine zêdekirin bi zimanê Rust.
Verastkirina sertîfîkayê bi karanîna karûbarên derveyî li ser bingeha protokola ku hîn jî tê bikar anîn (Protokola Rewşa Sertîfîkaya Serhêl) gihandina torê ya garantîkirî hewce dike, dibe sedema derengmayînek girîng di pêvajoya daxwaznameyê de (bi navînî 350 ms) û di peydakirina nepenîtiyê de pirsgirêk hene (pêşkêşkerên OCSP ku bersivê didin daxwazan agahdariya li ser sertîfîkayên taybetî digirin, ku dikare were bikar anîn da ku dadbar bikin ka çi malperên ku bikarhêner vedike). Li hemberî lîsteyan jî îmkana kontrolkirina herêmî heye (Lîsteya Betalkirina Sertîfîkayê), lê kêmasiya vê rêbazê mezinahiya pir mezin a daneyên dakêşandî ye - niha databasa sertîfîkayên betalkirî nêzî 300 MB digire û mezinbûna wê berdewam dike.
Ji bo astengkirina sertîfîkayên ku ji hêla rayedarên pejirandinê ve hatine desteser kirin û betal kirin, Firefox ji 2015-an vir ve navnîşek reş a navendî bikar tîne. di kombînasyona bi banga ji bo xizmetê ji bo naskirina çalakiya xerab a gengaz. OneCRL, mîna di Chrome de, wekî girêdanek navîn tevdigere ku navnîşên CRL-ê ji rayedarên pejirandî berhev dike û karûbarek OCSP-ya navendî ya yekane peyda dike ji bo kontrolkirina sertîfîkayên betalkirî, û dihêle ku neyên şandin rasterast ji rayedarên pejirandinê re. Tevî gelek xebatan ji bo baştirkirina pêbaweriya karûbarê verastkirina sertîfîkaya serhêl, daneyên telemetrîyê destnîşan dikin ku ji% 7 zêdetir OCSP daxwaza wextê dike (çend sal berê ev hejmar 15%) bû.
Bi xwerû, ger ne gengaz be ku bi OCSP verast bike, gerok sertîfîkayê derbasdar dibîne. Dibe ku karûbar ji ber pirsgirêkên torê û sînorkirinên li ser torên hundurîn peyda nebe, an ji hêla êrîşkaran ve were asteng kirin - ji bo ku di dema êrîşek MITM de kontrolkirina OCSP derbas bikin, tenê gihîştina karûbarê kontrolê asteng bikin. Qismî ji bo pêşîgirtina li van êrîşan, teknîkek hatiye sepandin , ku dihêle hûn xeletiyek gihîştina OCSP an neberdestbûna OCSP wekî pirsgirêkek sertîfîkayê binirxînin, lê ev taybetmendî vebijarkî ye û qeydkirina taybetî ya sertîfîkayê hewce dike.
CRLite dihêle hûn agahdariya bêkêmasî li ser hemî sertîfîkayên betalkirî di nav avahiyek bi hêsanî nûvekirî de, bi mezinahiya tenê 1 MB, yek bikin, ku dihêle hûn databasek bêkêmasî ya CRL li milê xerîdar hilînin.
Gerok dê bikaribe rojane kopiya xwe ya daneyên derheqê sertîfîkayên betalkirî hevdeng bike, û ev databas dê di bin her şert û mercî de peyda bibe.
CRLite agahdariya ji hev dike , têketinek giştî ya hemî sertîfîkayên hatine derxistin û betal kirin, û encamên skankirina sertîfîkayên li ser Înternetê (lîsteyên CRL yên cihê yên rayedarên pejirandinê têne berhev kirin û agahdariya li ser hemî sertîfîkayên naskirî têne berhev kirin). Daneyên bi karanîna cascading têne pak kirin , avahiyek îhtîmalî ya ku destûrê dide tesbîtkirina derewîn a hêmanek wenda, lê nehiştina hêmanek heyî derdixe holê (ango, bi îhtimalek diyar, erênîyek xelet ji bo sertîfîkayek rast gengaz e, lê sertîfîkayên betalkirî têne garantî kirin ku bêne nas kirin).
Ji bo rakirina pozîtîfên derewîn, CRLite astên fîlterê rastker ên zêde destnîşan kiriye. Piştî çêkirina strukturê, hemî tomarên çavkaniyê têne lêgerîn kirin û her erênîyên derewîn têne nas kirin. Li ser bingeha encamên vê kontrolê, avahiyek pêvek tê afirandin, ku li ser ya yekem tête avêtin û encamên derewîn ên encam rast dike. Operasyon dubare dibe heya ku di dema kontrolkirina kontrolê de erênîyên derewîn bi tevahî ji holê rabin. Bi gelemperî, çêkirina 7-10 qatan bes e ku hemî daneyan bi tevahî veşêre. Ji ber ku rewşa databasê, ji ber hevdemkirina periyodîk, hinekî li paş rewşa heyî ya CRL-ê dimîne, kontrolkirina sertîfîkayên nû yên ku piştî nûvekirina paşîn a databasa CRLite hatine weşandin, bi karanîna protokola OCSP-ê tête kirin, tevî karanîna (bersiva OCSP ya ku ji hêla rayedarek pejirandî ve hatî pejirandî ji hêla servera ku ji malperê re xizmet dike dema ku pêwendiyek TLS danûstandinan dike ve tê veguheztin).
Bi karanîna fîlterên Bloom, perçeya Kanûnê ya agahdariya ji WebPKI, ku 100 mîlyon sertîfîkayên çalak û 750 hezar sertîfîkayên betalkirî vedihewîne, karîbû di nav avahiyek mezinahiya 1.3 MB de were pak kirin. Pêvajoya hilberîna strukturê pir çavkaniyek zexm e, lê ew li ser servera Mozilla tête kirin û ji bikarhêner re nûvekirinek amade tê dayîn. Mînakî, di forma binary de, daneyên çavkaniyê yên ku di hilberînê de têne bikar anîn dema ku di Redis DBMS-ê de tê hilanîn nêzîkê 16 GB bîranîn hewce dike, û di forma hexadecimal de, avêtina hemî jimareyên rêzikên sertîfîkayê bi qasî 6.7 GB digire. Pêvajoya berhevkirina hemî sertîfîkayên betalkirî û çalak bi qasî 40 hûrdem digire, û pêvajoya çêkirina avahiyek pakkirî ya li ser bingeha Parzûna Bloom 20 hûrdemên din digire.
Mozilla naha piştrast dike ku databasa CRLite rojê çar caran tê nûve kirin (ne hemî nûvekirin ji xerîdaran re têne şandin). Nifşa nûvekirinên deltayê hîna nehatiye bicîh kirin - karanîna bsdiff4, ku ji bo afirandina nûvekirinên delta-yê ji bo serbestberdanê tê bikar anîn, ji bo CRLite karîgeriyek têr peyda nake û nûvekirin bê maqûl mezin in. Ji bo rakirina vê kêmasiyê, tê plansaz kirin ku forma strukturê hilanînê ji nû ve were xebitandin da ku ji nû ve avadankirin û jêbirina nehewce ji holê rabike.
CRLite niha di Firefox-ê de di moda pasîf de dixebite û bi OCSP re paralel tê bikar anîn da ku statîstîkên di derbarê xebata rast de berhev bike. CRLite dikare were veguheztin moda lêgerînê ya sereke; ji bo vê yekê, hûn hewce ne ku pîvana ewlehiyê.pki.crlite_mode = 2 li about:config saz bikin.
Source: opennet.ru