UzÅÄmums Mozilla
SertifikÄta pÄrbaude, izmantojot ÄrÄjos pakalpojumus, pamatojoties uz joprojÄm izmantoto protokolu
Lai bloÄ·Ätu sertifikÄtus, kurus ir apdraudÄjuÅ”as un atsaukuÅ”as sertifikÄcijas iestÄdes, Firefox kopÅ” 2015. gada ir izmantojis centralizÄtu melno sarakstu.
PÄc noklusÄjuma, ja nav iespÄjams pÄrbaudÄ«t, izmantojot OCSP, pÄrlÅ«kprogramma uzskata, ka sertifikÄts ir derÄ«gs. Pakalpojums var nebÅ«t pieejams tÄ«kla problÄmu un iekÅ”Äjo tÄ«klu ierobežojumu dÄļ vai uzbrucÄju bloÄ·Äts ā lai apietu OCSP pÄrbaudi MITM uzbrukuma laikÄ, vienkÄrÅ”i bloÄ·Äjiet piekļuvi pÄrbaudes pakalpojumam. DaļÄji, lai novÄrstu Å”Ädus uzbrukumus, ir ieviesta tehnika
CRLite ļauj apvienot pilnÄ«gu informÄciju par visiem atsauktajiem sertifikÄtiem viegli atjauninÄmÄ struktÅ«rÄ, tikai 1 MB lielumÄ, kas ļauj klienta pusÄ saglabÄt pilnÄ«gu CRL datu bÄzi.
PÄrlÅ«kprogramma katru dienu varÄs sinhronizÄt savu datu kopiju par atsauktajiem sertifikÄtiem, un Ŕī datu bÄze bÅ«s pieejama jebkuros apstÄkļos.
CRLite apvieno informÄciju no
Lai novÄrstu viltus pozitÄ«vus rezultÄtus, CRLite ir ieviesis papildu koriÄ£ÄjoÅ”us filtru lÄ«meÅus. PÄc struktÅ«ras Ä£enerÄÅ”anas tiek meklÄti visi avota ieraksti un tiek identificÄti visi viltus pozitÄ«vie rezultÄti. Pamatojoties uz Ŕīs pÄrbaudes rezultÄtiem, tiek izveidota papildu struktÅ«ra, kas tiek kaskÄdÄta uz pirmo un izlabo iegÅ«tos viltus pozitÄ«vos rezultÄtus. DarbÄ«bu atkÄrto, lÄ«dz tiek pilnÄ«bÄ novÄrsti kļūdaini pozitÄ«vi kontrolpÄrbaudes rezultÄti. Parasti pietiek ar 7ā10 slÄÅu izveidi, lai pilnÄ«bÄ aptvertu visus datus. TÄ kÄ datu bÄzes stÄvoklis periodiskas sinhronizÄcijas dÄļ nedaudz atpaliek no paÅ”reizÄjÄ CRL stÄvokļa, jauno sertifikÄtu, kas izsniegti pÄc CRLite datu bÄzes pÄdÄjÄs atjauninÄÅ”anas, pÄrbaude tiek veikta, izmantojot OCSP protokolu, tostarp izmantojot
Izmantojot Bloom filtrus, WebPKI decembra informÄcijas daļu, kas aptver 100 miljonus aktÄ«vo sertifikÄtu un 750 tÅ«kstoÅ”us atsaukto sertifikÄtu, varÄja iesaiÅot 1.3 MB lielÄ struktÅ«rÄ. StruktÅ«ras Ä£enerÄÅ”anas process ir diezgan resursietilpÄ«gs, taÄu tas tiek veikts uz Mozilla servera un lietotÄjam tiek dots gatavs atjauninÄjums. PiemÄram, binÄrajÄ formÄ Ä£enerÄÅ”anas laikÄ izmantotajiem avota datiem ir nepiecieÅ”ami aptuveni 16 GB atmiÅas, ja tie tiek glabÄti Redis DBVS, un heksadecimÄlÄ formÄ visu sertifikÄtu sÄrijas numuru izgÄztuves apjoms aizÅem apmÄram 6.7 GB. Visu atsaukto un aktÄ«vo sertifikÄtu apkopoÅ”anas process aizÅem apmÄram 40 minÅ«tes, savukÄrt pakotnes struktÅ«ras Ä£enerÄÅ”anas process, pamatojoties uz BlÅ«ma filtru, aizÅem vÄl 20 minÅ«tes.
PaÅ”laik Mozilla nodroÅ”ina, ka CRLite datubÄze tiek atjauninÄta Äetras reizes dienÄ (ne visi atjauninÄjumi tiek piegÄdÄti klientiem). Delta atjauninÄjumu Ä£enerÄÅ”ana vÄl nav ieviesta - bsdiff4 izmantoÅ”ana, ko izmanto laidienu delta atjauninÄjumu izveidei, nenodroÅ”ina atbilstoÅ”u CRLite efektivitÄti un atjauninÄjumi ir nepamatoti lieli. Lai novÄrstu Å”o trÅ«kumu, tiek plÄnots pÄrveidot krÄtuves struktÅ«ras formÄtu, lai novÄrstu nevajadzÄ«gu slÄÅu pÄrbÅ«vi un dzÄÅ”anu.
CRLite paÅ”laik darbojas pÄrlÅ«kprogrammÄ Firefox pasÄ«vajÄ režīmÄ un tiek izmantots paralÄli OCSP, lai uzkrÄtu statistiku par pareizu darbÄ«bu. CRLite var pÄrslÄgt uz galveno skenÄÅ”anas režīmu; lai to izdarÄ«tu, failÄ about:config ir jÄiestata parametrs security.pki.crlite_mode = 2.
Avots: opennet.ru