Mozilla Company de initio probationis novi mechanismi ad detegendas certificationes revocatas in aedificiis nocturnis Firefox — CRLite permittit efficientem inspectionem revocationis certificatorum contra basem datorum in systemate usoris positam. Implementatio CRLite apud Mozilla elaboratur. sub licentia libera MPL 2.0. Codex ad basim datorum generandam et partes servitoris scripti sunt in et Go. Partes a latere clientis ad legendum data ex basi datorum additae Firefox. lingua Rustiana.
Verificatio certificatorum, quae adhuc hodie in usu est, officia externa protocollo fundata implicat. (Protocollum Status Certificati Interretialis) accessum retiaculi certum requirit, moram magnam in processu petitionum inducit (mediocris 350 ms), et quaestiones secreti habet (servitores OCSP respondentes informationem de certis certificatis accipiunt, quae ad determinandum quas paginas interretiales usor visitet adhiberi potest). Probationes locales cum indicibus etiam praesto sunt. (Index Revocationum Certificatorum), sed incommodum huius methodi est magnitudo ingens datorum depromptorum - nunc index certificatorum revocatorum circiter 300 MB occupat et crescere pergit.
Firefox indicem nigrum centralizatum ad certificata violata et revocata ab anno 2015 arceenda adhibet. una cum petitione ad ministerium ad actiones malignas possibiles cognoscendas. OneCRL, sicut In Chrome, fungitur quasi intermediarius qui CRLs ab auctoritatibus certificationis (CA) aggregat et unum, centralizatum servitium OCSP praebet ad certificata revocata inspicienda, ita tollens necessitatem mittendi petitiones directe ad CAs. Quamquam amplum opus ad emendandam firmitatem servitii verificationis certificatorum interretialis peractum est, data telemetriae ostendunt plus quam 7% petitionum OCSP tempore exspirare (paucis abhinc annis, haec figura 15% erat).
Defalta, si verificatio OCSP fieri non potest, navigatrum certificatum validum iudicat. Servitium fortasse non praesto erit propter problemata retiaria et restrictiones internas retiarias, vel fortasse ab aggressoribus obstruetur. Ad verificationem OCSP evitandam durante impetu intermediario, sufficit simpliciter accessum ad servitium verificationis obstruere. Ars quaedam adhibita est ad tales impetus partim prohibendos. , quod permittit ut error petitionis OCSP vel indisponibilitas OCSP interpretetur ut problema cum certificato, sed haec functio est facultativa et designum certificati speciale requirit.
CRLite tibi permittit ut informationes completas de omnibus diplomatibus revocatis in structuram facile renovabilem, tantum 1 MB magnitudinis, consolides, quae tibi permittit ut totam basim datorum CRL in parte clientis serves.
Navigatrum exemplum datorum de certificatis revocatis quotidie synchronizare poterit, et haec basis datorum sub quibusvis condicionibus praesto erit.
CRLite notitias ex coniungit , index publicus omnium certificatorum emissum et revocatum, et eventuum perscrutationis certificatorum in Interreti (variae indices CRL auctoritatum certificationis colliguntur et informationes de omnibus certificatis notis aggregantur). Data per cascading fasciculantur. , structura probabilistica quae detectionem falso positivam elementi absentis permittit, sed omissionem elementi existentis excludit (id est, cum certa probabilitate, falsum positivum pro certificato valido fieri potest, sed certificata revocata detectionem certo habemus).
Ad falsa positiva eliminanda, CRLite strata correctionis filtrorum addita introduxit. Postquam structura generata est, omnia documenta fontis iterantur et quaevis falsa positiva identificantur. Secundum eventus huius probationis, structura addita creatur, in primam descendens et quaevis falsa positiva quae orta sunt corrigens. Haec operatio repetitur donec falsa positiva durante probatione moderatoria omnino eliminentur. Typice, septem ad decem strata creare sufficit ad omnia data plene tegenda. Cum status basis datorum paulum post statum CRL praesentem retardetur propter synchronizationem periodicam, verificatio novorum certificatorum emissorum ab ultima renovatione basis datorum CRLite per protocollum OCSP fit, incluso usu technicae... (responsum OCSP ab auctoritate certificationis probatum a servo sito serviente transmittitur cum nexum TLS negotiatur).
Adhibendo filtris Bloom, imago Decembris datorum WebPKI, centum miliones certificatorum activorum et septingenta quinquaginta milia certificatorum revocatorum comprehendens, in structuram 1.3 MB compressa est. Processus generationis structurae satis opibus uti solet, sed in servo Mozillae currit, et usor renovationem iam paratam accipit. Exempli gratia, data binaria ad generationem adhibita circiter 16 GB memoriae requirunt cum in Redis DBMS servantur, dum copia hexadecimalis omnium numerorum serialium certificatorum circiter 6.7 GB occupat. Processus aggregationis omnium certificatorum revocatorum et activorum circiter quadraginta minuta consumit, et generatio structurae compressae adhibita filtro Bloom viginti minuta addita requirit.
Mozilla nunc quater in die basim datorum CRLite renovat (non omnes renovationes clientibus traduntur). Generatio renovationum Delta nondum implementata est — bsdiff4 ad creandas renovationes delta adhibitum necessariam efficaciam pro CRLite non praebet, quod renovationes inutiles magnas efficit. Ad hanc defectum corrigendam, consilia in progressu sunt ad formam structurae repositionis retractandam ut reconstructio et remotio stratorum superflua eliminentur.
CRLite nunc in modo passivo in Firefox operatur et una cum OCSP adhibetur ad statistica de recta operatione eius colligenda. CRLite ad modum verificationis primarium commutari potest parametro security.pki.crlite_mode ad 2 in about:config statuendo.
Source: opennet.ru
