Mozilla Company momba ny fanombohan'ny fitsapana amin'ny fananganana Firefox isan'alina, mekanika vaovao hamantarana ireo mari-pankasitrahana nofoanana - . Ny CRLite dia ahafahanao mandamina fisavana fanafoanana fanamarinana mahomby amin'ny angon-drakitra nampiantranoana ny rafitry ny mpampiasa. Fampiharana CRLite an'i Mozilla eo ambanin'ny lisansa MPL 2.0 maimaimpoana. Ny kaody amin'ny famoronana ny angon-drakitra sy ny singa mpizara dia voasoratra ao ary Mandehana. Ny ampahany amin'ny mpanjifa dia nampidirina tao amin'ny Firefox mba hamakiana angona avy amin'ny angona amin'ny fiteny Rust.
Fanamarinana fanamarinana mampiasa serivisy ivelany mifototra amin'ny protocol izay mbola ampiasaina (Online Certificate Status Protocol) dia mitaky fidirana amin'ny tambajotra azo antoka, mitarika fahatarana lehibe amin'ny fanodinana fangatahana (350ms eo ho eo) ary manana olana amin'ny fiantohana ny tsiambaratelo (ireo mpizara OCSP mamaly ny fangatahana dia mahazo fampahalalana momba ny mari-pankasitrahana manokana, izay azo ampiasaina hitsarana na inona. tranonkala sokafan'ny mpampiasa). Misy ihany koa ny mety hisian'ny fanamarinana eo an-toerana amin'ny lisitra (Lisitry ny fanafoanana ny taratasy fanamarinana), fa ny tsy fahampian'ity fomba ity dia ny haben'ny angon-drakitra alaina - amin'izao fotoana izao dia misy 300 MB eo ho eo ny angon-drakitra momba ny fanamarinana nofoanana ary mitohy ny fitomboany.
Mba hanakanana ny mari-pankasitrahana izay nopotehin'ny manampahefana fanamarinana, Firefox dia nampiasa lisitra mainty afovoany nanomboka tamin'ny taona 2015. miaraka amin'ny antso ho amin'ny fanompoana hamantarana ny mety ho asa ratsy. OneCRL, toy ny ao amin'ny Chrome, dia miasa toy ny rohy manelanelana izay manangona ny lisitry ny CRL avy amin'ny manampahefana fanamarinana ary manome serivisy OCSP foibe tokana hanamarinana ireo mari-pankasitrahana nofoanana, ka mahatonga ny tsy handefasana fangatahana mivantana any amin'ny manampahefana fanamarinana. Na dia eo aza ny asa be dia be hanatsarana ny fahamendrehan'ny serivisy fanamarinana an-tserasera, ny angon-drakitra telemetry dia mampiseho fa mihoatra ny 7% amin'ny OCSP no mangataka fotoana (taona vitsivitsy lasa izay dia 15%) io tarehimarika io.
Amin'ny alΓ lan'ny default, raha tsy azo atao ny manamarina amin'ny OCSP, dia heverin'ny navigateur ho manan-kery ny taratasy fanamarinana. Ny serivisy dia mety tsy misy noho ny olana amin'ny tambajotra sy ny famerana amin'ny tambajotra anatiny, na voasakana ny mpanafika - mba hialana amin'ny fisavana OCSP mandritra ny fanafihana MITM, sakanana fotsiny ny fidirana amin'ny serivisy fanamarinana. Amin'ny ampahany mba hisorohana ny fanafihana toy izany dia nisy teknika nampiharina , izay ahafahanao mitondra ny olan'ny fidirana amin'ny OCSP na ny tsy fisian'ny OCSP ho olana amin'ny taratasy fanamarinana, saingy tsy voatery io endri-javatra io ary mitaky fisoratana anarana manokana amin'ny taratasy fanamarinana.
Ny CRLite dia ahafahanao manambatra ny fampahalalana feno momba ny fanamarinana rehetra nofoanana ho rafitra mora havaozina, 1 MB ihany ny habeny, izay ahafahana mitahiry tahiry CRL feno amin'ny lafiny mpanjifa.
Ny navigateur dia afaka mampifanaraka ny dika mitovy amin'ny angon-drakitra momba ny mari-pankasitrahana nofoanana isan'andro, ary ity angona ity dia ho hita ao anatin'ny fepetra rehetra.
CRLite dia manambatra ny fampahalalana avy amin'ny , lozisialy ho an'ny daholobe misy ireo mari-pankasitrahana rehetra navoaka sy nesorina, ary ny vokatry ny certificat scanning amin'ny Internet (angonina ny lisitry ny CRL isan-karazany an'ny manampahefana fanamarinana ary angonina ny vaovao momba ny fanamarinana rehetra fantatra). Ny angona dia fonosina amin'ny fampiasana cascading , rafitra azo inoana izay mamela ny fisavana diso amin'ny singa tsy hita, fa manilika ny tsy fisian'ny singa efa misy (izany hoe, miaraka amin'ny mety ho azo atao, azo atao ny mety ho tsara diso ho an'ny certificat marina, saingy azo antoka fa ho fantatra ny mari-pankasitrahana nofoanana).
Mba hanesorana ny lafy tsaran-javatra diso, dia nampidirin'ny CRLite ny haavon'ny sivana fanitsiana fanampiny. Aorian'ny famoronana ny rafitra dia karohina ny rakitra loharano rehetra ary fantaro izay mety ho diso. Miorina amin'ny valin'io fanamarinana io, misy rafitra fanampiny noforonina, izay mipetaka amin'ny voalohany ary manitsy ny vokatra diso. Miverina ny fandidiana mandra-pahafoana tanteraka ny fanenjehana diso mandritra ny fisavana fanaraha-maso. Amin'ny ankapobeny, ny famoronana sosona 7-10 dia ampy handrakofana tanteraka ny angona rehetra. Koa satria ny toetry ny angon-drakitra, noho ny fampifanarahana tsindraindray, dia mihemotra kely amin'ny toetry ny CRL amin'izao fotoana izao, ny fanamarinana ny fanamarinana vaovao navoaka taorian'ny fanavaozana farany ny angon-drakitra CRLite dia tanterahana amin'ny alΓ lan'ny protocol OCSP, ao anatin'izany ny fampiasana ny (valin'ny OCSP nohamarinin'ny manampahefana fanamarinana dia ampitain'ny mpizara manompo ny tranokala rehefa mifampiraharaha amin'ny fifandraisana TLS).
Amin'ny fampiasana sivana Bloom, ny ampahany amin'ny fampahalalam-baovao tamin'ny Desambra avy amin'ny WebPKI, mandrakotra ny mari-pankasitrahana mavitrika 100 tapitrisa sy ny mari-pankasitrahana 750 arivo nofoanana, dia azo nofonosina tao anaty rafitra 1.3 MB ny habeny. Ny fizotry ny famoronana rafitra dia tena be loharanon-karena, saingy atao amin'ny mpizara Mozilla izany ary omena fanavaozana efa vonona ny mpampiasa. Ohatra, amin'ny endrika mimari-droa, ny angon-drakitra loharano ampiasaina mandritra ny famokarana dia mitaky fitadidiana 16 GB eo ho eo rehefa voatahiry ao amin'ny Redis DBMS, ary amin'ny endrika hexadecimal, ny fanariana ny nomeraon'ny sertifika rehetra dia mila 6.7 ββGB. Maharitra 40 minitra eo ho eo ny dingan'ny fanangonana ireo mari-pankasitrahana nofoanana sy mavitrika rehetra, ary maharitra 20 minitra hafa ny fizotran'ny famoronana rafitra feno fonosana mifototra amin'ny sivana Bloom.
Mozilla amin'izao fotoana izao dia miantoka fa ny angon-drakitra CRLite dia havaozina in-efatra isan'andro (tsy ny fanavaozana rehetra no alefa amin'ny mpanjifa). Tsy mbola nampiharina ny famokarana delta fanavaozana - ny fampiasana bsdiff4, ampiasaina hamoronana fanavaozana delta ho an'ny famoahana, dia tsy manome fahombiazana ampy ho an'ny CRLite ary ny fanavaozana dia lehibe tsy mitombina. Mba hanafoanana io tsy fahampiana io, dia mikasa ny hamerenana ny endriky ny firafitry ny fitehirizana mba hanafoanana ny fananganana tsy ilaina sy ny famafana ny sosona.
CRLite dia miasa ao amin'ny Firefox amin'ny fomba passive ary ampiasaina miaraka amin'ny OCSP mba hanangonana antontan'isa momba ny asa marina. Ny CRLite dia azo adika amin'ny maodely scan lehibe; Mba hanaovana izany dia mila mametraka ny parameter security.pki.crlite_mode = 2 ao amin'ny:config.
Source: opennet.ru