Mozilla компаниясы Firefoxтун түнкү түзүмдөрүндө жокко чыгарылган сертификаттарды аныктоонун жаңы механизмин тестирлөөнүн башталышы жөнүндө - . CRLite колдонуучунун тутумунда жайгашкан маалымат базасына каршы сертификатты жокко чыгарууну натыйжалуу текшерүүнү уюштурууга мүмкүндүк берет. Mozilla CRLite ишке ашыруу бекер MPL 2.0 лицензиясы боюнча. Маалыматтар базасын жана сервер компоненттерин түзүү үчүн код жазылган жана кет. Кардар бөлүктөрү маалымат базасынан маалыматтарды окуу үчүн Firefoxко кошулду Rust тилинде.
Дагы эле колдонулуп жаткан протоколдун негизинде тышкы кызматтарды колдонуу менен тастыктаманы текшерүү (Онлайн Сертификаттын Статус Протоколу) кепилденген тармакка кирүү мүмкүнчүлүгүн талап кылат, суроо-талаптарды иштеп чыгуунун олуттуу кечигишине алып келет (орточо эсеп менен 350 мс) жана купуялуулукту камсыз кылууда көйгөйлөр бар (суроолорго жооп берген OCSP серверлери конкреттүү сертификаттар жөнүндө маалымат алышат. колдонуучу ачкан сайттар). Тизмелер боюнча жергиликтүү текшерүү мүмкүнчүлүгү да бар (Сертификаттарды жокко чыгаруу тизмеси), бирок бул ыкманын кемчилиги жүктөлүп алынган маалыматтардын өтө чоң көлөмү болуп саналат - учурда жокко чыгарылган сертификаттардын маалымат базасы 300 МБга жакынды ээлейт жана анын өсүшү уланууда.
Сертификаттоо органдары тарабынан бузулган жана жокко чыгарылган сертификаттарды бөгөттөө үчүн Firefox 2015-жылдан бери борборлоштурулган кара тизмени колдонуп келет. кызматка чакыруу менен бирге мүмкүн болгон зыяндуу иш-аракеттерди аныктоо. OneCRL сыяктуу Chrome'до сертификациялык органдардын CRL тизмелерин бириктирген жана жокко чыгарылган сертификаттарды текшерүү үчүн бирдиктүү борборлоштурулган OCSP кызматын камсыз кылган ортодогу шилтеме катары иштейт, бул суроо-талаптарды түздөн-түз тастыктама органдарына жөнөтпөөгө мүмкүндүк берет. Сертификаттарды онлайн текшерүү кызматынын ишенимдүүлүгүн жогорулатуу боюнча көп иштерге карабастан, телеметриялык маалыматтар көрсөткөндөй, OCSP сурамдарынын 7% дан ашыгы күтүлбөйт (бир нече жыл мурун бул көрсөткүч 15% болчу).
Демейки боюнча, OCSP аркылуу текшерүү мүмкүн болбосо, браузер тастыктаманы жарактуу деп эсептейт. Кызмат тармак көйгөйлөрүнөн жана ички тармактардагы чектөөлөрдөн улам жеткиликсиз болушу мүмкүн же чабуулчулар тарабынан бөгөттөлгөн - MITM чабуулу учурунда OCSP текшерүүсүн айланып өтүү үчүн, текшерүү кызматына кирүү мүмкүнчүлүгүн бөгөттөп коюу керек. Мындай чабуулдарды жарым-жартылай болтурбоо үчүн бир техника ишке ашырылган , бул сизге OCSP кирүү катасын же OCSP жетишсиздигин сертификаттагы көйгөй катары кароого мүмкүндүк берет, бирок бул функция милдеттүү эмес жана сертификаттын атайын каттоосун талап кылат.
CRLite сизге бардык жокко чыгарылган сертификаттар жөнүндө толук маалыматты оңой жаңыртылган структурага бириктирүүгө мүмкүндүк берет, көлөмү болгону 1 МБ, бул кардар тарабында толук CRL маалымат базасын сактоого мүмкүндүк берет.
Браузер күн сайын жокко чыгарылган сертификаттар жөнүндө маалыматтардын көчүрмөсүн синхронизациялай алат жана бул маалымат базасы бардык шарттарда жеткиликтүү болот.
CRLite маалыматты бириктирет , бардык берилген жана жокко чыгарылган сертификаттардын жана Интернетте сертификаттарды сканерлөөнүн жыйынтыктарынын жалпыга ачык журналы (сертификаттоо органдарынын ар кандай CRL тизмелери чогултулуп, бардык белгилүү сертификаттар жөнүндө маалымат топтолот). Берилиштер каскаддын жардамы менен пакеттелген , жок элементти жалган аныктоого мүмкүндүк берүүчү, бирок бар элементтин калтырылышын жокко чыгарган ыктымалдык структура (б.а., белгилүү бир ыктымалдуулук менен туура сертификат үчүн жалган позитивдүү болушу мүмкүн, бирок жокко чыгарылган сертификаттар идентификацияга кепилдик берилет).
Жалган позитивдерди жок кылуу үчүн CRLite кошумча түзөтүүчү чыпка деңгээлин киргизди. Түзүмдү түзгөндөн кийин, бардык баштапкы жазуулар изделет жана ар кандай жалган позитивдер аныкталат. Бул текшерүүнүн жыйынтыгы боюнча кошумча структура түзүлөт, ал биринчисине каскад болуп, пайда болгон жалган позитивдерди оңдойт. Контролдук текшерүү учурундагы туура эмес көрсөткүчтөр толугу менен жок кылынмайынча операция кайталанат. Адатта, 7-10 катмарды түзүү бардык маалыматтарды толугу менен жабуу үчүн жетиштүү. Маалыматтар базасынын абалы, мезгил-мезгили менен синхрондоштуруудан улам, CRLдин учурдагы абалынан бир аз артта калгандыктан, CRLite маалымат базасынын акыркы жаңылануусунан кийин берилген жаңы сертификаттарды текшерүү OCSP протоколун, анын ичинде (сертификаттоо органы тарабынан тастыкталган OCSP жообу TLS байланышы боюнча сүйлөшүүлөрдү жүргүзүүдө сайтты тейлеген сервер тарабынан жөнөтүлөт).
Bloom чыпкаларын колдонуу менен, 100 миллион активдүү сертификаттарды жана 750 миң жокко чыгарылган сертификаттарды камтыган WebPKI маалыматынын декабрь кесими 1.3 МБ өлчөмүндөгү структурага топтолду. Түзүмдү түзүү процесси кыйла ресурсту талап кылат, бирок ал Mozilla серверинде аткарылат жана колдонуучуга даяр жаңыртуу берилет. Мисалы, экилик формада, генерация учурунда колдонулган булак маалыматтары Redis DBMSде сакталганда болжол менен 16 ГБ эстутумду талап кылат, ал эми он алтылык формада бардык сертификаттын сериялык номерлеринин таштандысы 6.7 ГБга жакынды талап кылат. Бардык жокко чыгарылган жана активдүү сертификаттарды топтоо процесси болжол менен 40 мүнөттү, ал эми Блум чыпкасынын негизинде пакеттелген структураны түзүү процесси дагы 20 мүнөттү талап кылат.
Учурда Mozilla CRLite маалымат базасы күнүнө төрт жолу жаңыланып турушун камсыздайт (бардык жаңыртуулар кардарларга жеткирилбейт). Дельта жаңыртууларын генерациялоо азырынча ишке ашырыла элек - релиздердин дельта жаңыртууларын түзүү үчүн колдонулган bsdiff4 колдонуу CRLite үчүн адекваттуу эффективдүүлүктү камсыз кылбайт жана жаңыртуулар негизсиз чоң. Бул кемчиликти жоюу үчүн керексиз кайра курууну жана катмарларды жок кылууну жок кылуу үчүн сактоо структурасынын форматын кайра иштеп чыгуу пландаштырылууда.
Учурда CRLite Firefox-та пассивдүү режимде иштейт жана туура иштөө жөнүндө статистиканы топтоо үчүн OCSP менен параллелдүү колдонулат. CRLite негизги скандоо режимине которулушу мүмкүн, бул үчүн сиз about:config ичинде security.pki.crlite_mode = 2 параметрин коюшуңуз керек.
Source: opennet.ru