„Mozilla“ kompanija
Sertifikato patvirtinimas naudojant išorines paslaugas pagal vis dar naudojamą protokolą
Siekdama blokuoti sertifikatus, kuriems buvo pakenkta ir kuriuos atšaukė sertifikavimo institucijos, „Firefox“ nuo 2015 m. naudojo centralizuotą juodąjį sąrašą.
Pagal numatytuosius nustatymus, jei neįmanoma patikrinti naudojant OCSP, naršyklė laiko sertifikatą galiojančiu. Paslauga gali būti nepasiekiama dėl tinklo problemų ir vidinių tinklų apribojimų arba užblokuota užpuolikų – norėdami apeiti OCSP patikrinimą MITM atakos metu, tiesiog užblokuokite prieigą prie patikrinimo paslaugos. Iš dalies siekiant užkirsti kelią tokiems išpuoliams, buvo įdiegta technika
CRLite leidžia sujungti visą informaciją apie visus atšauktus sertifikatus į lengvai atnaujinamą, tik 1 MB dydžio struktūrą, kuri leidžia saugoti visą CRL duomenų bazę kliento pusėje.
Naršyklė galės kasdien sinchronizuoti savo duomenų apie atšauktus sertifikatus kopiją ir ši duomenų bazė bus prieinama bet kokiomis sąlygomis.
CRLite sujungia informaciją iš
Siekdama pašalinti klaidingus teigiamus rezultatus, CRLite įdiegė papildomus korekcinius filtrų lygius. Sukūrus struktūrą, ieškoma visų šaltinio įrašų ir nustatomi visi klaidingi teigiami rezultatai. Remiantis šio patikrinimo rezultatais, sukuriama papildoma struktūra, kuri kaskaduojama ant pirmosios ir ištaiso gautus klaidingus teigiamus rezultatus. Operacija kartojama tol, kol kontrolinio patikrinimo metu gauti klaidingi teigiami rezultatai bus visiškai pašalinti. Paprastai, norint visiškai padengti visus duomenis, pakanka sukurti 7–10 sluoksnių. Kadangi duomenų bazės būsena dėl periodinio sinchronizavimo šiek tiek atsilieka nuo dabartinės CRL būsenos, naujų sertifikatų, išduotų po paskutinio CRLite duomenų bazės atnaujinimo, tikrinimas atliekamas naudojant OCSP protokolą, įskaitant
Naudojant Bloom filtrus, gruodžio mėnesio WebPKI informacijos dalis, apimanti 100 milijonų aktyvių sertifikatų ir 750 tūkstančių atšauktų sertifikatų, galėjo būti supakuota į 1.3 MB dydžio struktūrą. Struktūros generavimo procesas yra gana daug resursų reikalaujantis procesas, tačiau jis atliekamas Mozilla serveryje ir vartotojui pateikiamas paruoštas atnaujinimas. Pavyzdžiui, dvejetaine forma generavimo metu naudojamiems šaltinio duomenims reikia apie 16 GB atminties, kai jie saugomi Redis DBMS, o šešioliktaine forma visų sertifikatų serijos numerių išmetimui reikia apie 6.7 GB. Visų atšauktų ir aktyvių sertifikatų sujungimo procesas užtrunka apie 40 minučių, o supakuotos struktūros generavimas pagal „Bloom“ filtrą – dar 20 minučių.
Šiuo metu „Mozilla“ užtikrina, kad CRLite duomenų bazė būtų atnaujinama keturis kartus per dieną (ne visi atnaujinimai pristatomi klientams). Delta atnaujinimų generavimas dar neįdiegtas – bsdiff4 naudojimas, naudojamas kuriant delta naujinimus leidimams, neužtikrina tinkamo CRLite efektyvumo, o atnaujinimai yra neprotingai dideli. Siekiant pašalinti šį trūkumą, planuojama pertvarkyti saugyklos struktūros formatą, kad būtų išvengta nereikalingo sluoksnių perstatymo ir ištrynimo.
CRLite šiuo metu veikia Firefox pasyviuoju režimu ir yra naudojamas lygiagrečiai su OCSP, kad būtų kaupiama statistika apie teisingą veikimą. CRLite galima perjungti į pagrindinį nuskaitymo režimą; norėdami tai padaryti, apie:config turite nustatyti parametrą security.pki.crlite_mode = 2.
Šaltinis: opennet.ru