Mozilla компаниясы
Дагы эле колдонулуп жаткан протоколдун негизинде тышкы кызматтарды колдонуу менен тастыктаманы текшерүү
Сертификаттоо органдары тарабынан бузулган жана жокко чыгарылган сертификаттарды бөгөттөө үчүн Firefox 2015-жылдан бери борборлоштурулган кара тизмени колдонуп келет.
Демейки боюнча, OCSP аркылуу текшерүү мүмкүн болбосо, браузер тастыктаманы жарактуу деп эсептейт. Кызмат тармак көйгөйлөрүнөн жана ички тармактардагы чектөөлөрдөн улам жеткиликсиз болушу мүмкүн же чабуулчулар тарабынан бөгөттөлгөн - MITM чабуулу учурунда OCSP текшерүүсүн айланып өтүү үчүн, текшерүү кызматына кирүү мүмкүнчүлүгүн бөгөттөп коюу керек. Мындай чабуулдарды жарым-жартылай болтурбоо үчүн бир техника ишке ашырылган
CRLite сизге бардык жокко чыгарылган сертификаттар жөнүндө толук маалыматты оңой жаңыртылган структурага бириктирүүгө мүмкүндүк берет, көлөмү болгону 1 МБ, бул кардар тарабында толук CRL маалымат базасын сактоого мүмкүндүк берет.
Браузер күн сайын жокко чыгарылган сертификаттар жөнүндө маалыматтардын көчүрмөсүн синхронизациялай алат жана бул маалымат базасы бардык шарттарда жеткиликтүү болот.
CRLite маалыматты бириктирет
Жалган позитивдерди жок кылуу үчүн CRLite кошумча түзөтүүчү чыпка деңгээлин киргизди. Түзүмдү түзгөндөн кийин, бардык баштапкы жазуулар изделет жана ар кандай жалган позитивдер аныкталат. Бул текшерүүнүн жыйынтыгы боюнча кошумча структура түзүлөт, ал биринчисине каскад болуп, пайда болгон жалган позитивдерди оңдойт. Контролдук текшерүү учурундагы туура эмес көрсөткүчтөр толугу менен жок кылынмайынча операция кайталанат. Адатта, 7-10 катмарды түзүү бардык маалыматтарды толугу менен жабуу үчүн жетиштүү. Маалыматтар базасынын абалы, мезгил-мезгили менен синхрондоштуруудан улам, CRLдин учурдагы абалынан бир аз артта калгандыктан, CRLite маалымат базасынын акыркы жаңылануусунан кийин берилген жаңы сертификаттарды текшерүү OCSP протоколун, анын ичинде
Bloom чыпкаларын колдонуу менен, 100 миллион активдүү сертификаттарды жана 750 миң жокко чыгарылган сертификаттарды камтыган WebPKI маалыматынын декабрь кесими 1.3 МБ өлчөмүндөгү структурага топтолду. Түзүмдү түзүү процесси кыйла ресурсту талап кылат, бирок ал Mozilla серверинде аткарылат жана колдонуучуга даяр жаңыртуу берилет. Мисалы, экилик формада, генерация учурунда колдонулган булак маалыматтары Redis DBMSде сакталганда болжол менен 16 ГБ эстутумду талап кылат, ал эми он алтылык формада бардык сертификаттын сериялык номерлеринин таштандысы 6.7 ГБга жакынды талап кылат. Бардык жокко чыгарылган жана активдүү сертификаттарды топтоо процесси болжол менен 40 мүнөттү, ал эми Блум чыпкасынын негизинде пакеттелген структураны түзүү процесси дагы 20 мүнөттү талап кылат.
Учурда Mozilla CRLite маалымат базасы күнүнө төрт жолу жаңыланып турушун камсыздайт (бардык жаңыртуулар кардарларга жеткирилбейт). Дельта жаңыртууларын генерациялоо азырынча ишке ашырыла элек - релиздердин дельта жаңыртууларын түзүү үчүн колдонулган bsdiff4 колдонуу CRLite үчүн адекваттуу эффективдүүлүктү камсыз кылбайт жана жаңыртуулар негизсиз чоң. Бул кемчиликти жоюу үчүн керексиз кайра курууну жана катмарларды жок кылууну жок кылуу үчүн сактоо структурасынын форматын кайра иштеп чыгуу пландаштырылууда.
Учурда CRLite Firefox-та пассивдүү режимде иштейт жана туура иштөө жөнүндө статистиканы топтоо үчүн OCSP менен параллелдүү колдонулат. CRLite негизги скандоо режимине которулушу мүмкүн, бул үчүн сиз about:config ичинде security.pki.crlite_mode = 2 параметрин коюшуңуз керек.
Source: opennet.ru