Mozilla Company
Zertifikat Verifizéierung mat externe Servicer baséiert op dem Protokoll deen nach ëmmer benotzt gëtt
Fir Certificaten ze blockéieren déi vun Zertifizéierungsautoritéiten kompromittéiert an zréckgezunn sinn, huet Firefox zënter 2015 eng zentraliséiert Blacklist benotzt
Par défaut, wann et onméiglech ass iwwer OCSP z'iwwerpréiwen, betruecht de Browser den Zertifika als valabel. De Service kann net erreechbar sinn wéinst Netzwierkproblemer a Restriktiounen op intern Netzwierker, oder blockéiert vun Ugräifer - fir den OCSP-Scheck während engem MITM-Attack ëmzegoen, einfach den Zougang zum Scheckservice blockéieren. Deelweis fir esou Attacken ze verhënneren, gouf eng Technik ëmgesat
CRLite erlaabt Iech komplett Informatioun iwwer all zréckgezunn Certificaten an eng einfach aktualiséiert Struktur ze konsolidéieren, nëmmen 1 MB grouss, wat et méiglech mécht eng komplett CRL Datebank op der Client Säit ze späicheren.
De Browser wäert fäeg sinn seng Kopie vun den Donnéeën iwwer zréckgezunn Certificaten all Dag ze synchroniséieren, an dës Datebank wäert ënner all Bedingungen verfügbar sinn.
CRLite kombinéiert Informatiounen aus
Fir falsch Positiver ze eliminéieren, huet CRLite zousätzlech Korrekturfilterniveauen agefouert. Nodeems d'Struktur generéiert gouf, ginn all Quellrecords gesicht an all falsch Positiver identifizéiert. Baséierend op d'Resultater vun dëser Kontroll gëtt eng zousätzlech Struktur erstallt, déi op déi éischt kaskadéiert gëtt an déi resultéierend falsch Positiver korrigéiert. D'Operatioun gëtt widderholl bis falsch Positiver während der Kontrollkontroll komplett eliminéiert ginn. Typesch ass 7-10 Schichten ze kreéieren genuch fir all Daten komplett ze decken. Zënter dem Zoustand vun der Datebank, wéinst der periodescher Synchroniséierung, liicht hannert dem aktuellen Zoustand vun der CRL bleift, gëtt d'Kontroll vun neien Zertifikater, déi nom leschten Update vun der CRLite-Datebank ausgestallt goufen, mam OCSP-Protokoll duerchgefouert, och d'Benotzung vum
Mat Hëllef vu Bloom Filtere konnt den Dezember Scheck vun Informatioun vu WebPKI, déi 100 Milliounen aktive Certificaten an 750 Tausend zréckgezunn Certificaten iwwerdeckt, an eng Struktur vun 1.3 MB an der Gréisst packen. De Strukturgeneratiounsprozess ass zimmlech Ressourceintensiv, awer et gëtt um Mozilla Server ausgefouert an de Benotzer gëtt e fäerdege Update kritt. Zum Beispill, a binärer Form, erfuerderen d'Quelldaten, déi während der Generatioun benotzt ginn, ongeféier 16 GB Erënnerung wann se am Redis DBMS gespäichert sinn, an an der hexadezimaler Form dauert en Dump vun all Zertifikat Seriennummeren ongeféier 6.7 GB. De Prozess fir all zréckgezunn an aktiv Certificaten ze aggregéieren dauert ongeféier 40 Minutten, an de Prozess fir eng verpackte Struktur ze generéieren baséiert op dem Bloom Filter dauert nach 20 Minutten.
Mozilla suergt momentan datt d'CRLite-Datebank véier Mol am Dag aktualiséiert gëtt (net all Updates ginn u Clienten geliwwert). Generatioun vun Deltaupdates ass nach net ëmgesat ginn - d'Benotzung vu bsdiff4, benotzt fir Deltaupdates fir Verëffentlechungen ze kreéieren, bitt keng adäquat Effizienz fir CRLite an d'Aktualiséierunge sinn onraisonnabel grouss. Fir dësen Nodeel z'eliminéieren, ass et geplangt d'Format vun der Späicherstruktur ëmzeschaffen fir onnéideg Neiopbau a Läschen vu Schichten ze eliminéieren.
CRLite schafft momentan am Firefox am passive Modus a gëtt parallel mam OCSP benotzt fir Statistiken iwwer déi richteg Operatioun ze sammelen. CRLite kann op den Haaptscannmodus gewiesselt ginn; fir dëst ze maachen, musst Dir de Parameter security.pki.crlite_mode = 2 an about:config setzen.
Source: opennet.ru