Mozilla компани
Ашиглаж байгаа протокол дээр үндэслэн гадны үйлчилгээг ашиглан гэрчилгээний баталгаажуулалт
Баталгаажуулалтын эрх бүхий байгууллагаас хүчингүй болгосон гэрчилгээг хаахын тулд Firefox 2015 оноос хойш төвлөрсөн хар жагсаалтыг ашиглаж байна.
Анхдагч байдлаар, хэрэв OCSP-ээр баталгаажуулах боломжгүй бол хөтөч нь гэрчилгээг хүчинтэй гэж үзнэ. Сүлжээний асуудал болон дотоод сүлжээн дэх хязгаарлалтын улмаас энэ үйлчилгээг ашиглах боломжгүй эсвэл халдагчид блоклосон байж магадгүй - MITM халдлагын үед OCSP шалгалтыг тойрч гарахын тулд шалгах үйлчилгээнд хандах хандалтыг блоклоход л хангалттай. Ийм халдлагаас урьдчилан сэргийлэх арга техникийг хэсэгчлэн хэрэгжүүлсэн
CRLite нь хүчингүй болсон бүх гэрчилгээний талаарх бүрэн мэдээллийг хялбархан шинэчлэгдэх бүтцэд нэгтгэх боломжийг олгодог, ердөө 1 МБ хэмжээтэй, энэ нь CRL мэдээллийн баазыг үйлчлүүлэгч талдаа бүрэн хадгалах боломжтой болгодог.
Хөтөч нь хүчингүй болсон гэрчилгээний талаарх өгөгдлийн хуулбарыг өдөр бүр синхрончлох боломжтой бөгөөд энэ мэдээллийн сан нь ямар ч нөхцөлд бэлэн байх болно.
CRLite нь мэдээллийг нэгтгэдэг
Хуурамч эерэг байдлыг арилгахын тулд CRLite нэмэлт залруулах шүүлтүүрийн түвшинг нэвтрүүлсэн. Бүтэцийг үүсгэсний дараа бүх эх сурвалжийн бүртгэлийг хайж, худал эерэг байгаа эсэхийг тогтооно. Энэхүү шалгалтын үр дүнд үндэслэн нэмэлт бүтэц бий болсон бөгөөд энэ нь эхнийх рүү шилжиж, хуурамч эерэг үр дүнг засдаг. Хяналтын шалгалтын явцад гарсан худал үр дүнг бүрэн арилгах хүртэл үйлдлийг давтана. Ерөнхийдөө 7-10 давхарга үүсгэх нь бүх өгөгдлийг бүрэн хамрахад хангалттай. Өгөгдлийн сангийн төлөв байдал нь үе үе синхрончлолын улмаас CRL-ийн одоогийн төлөвөөс бага зэрэг хоцорч байгаа тул CRLite мэдээллийн баазыг сүүлийн шинэчлэлт хийсний дараа гаргасан шинэ гэрчилгээг шалгах ажлыг OCSP протокол, түүний дотор
Bloom шүүлтүүрийг ашигласнаар 100 сая идэвхтэй гэрчилгээ, 750 мянган хүчингүй болсон гэрчилгээг хамарсан WebPKI-ийн 1.3-р сарын зүсмэл мэдээллийг 16 МБ хэмжээтэй бүтцэд оруулах боломжтой болсон. Бүтэц үүсгэх процесс нь нэлээд их нөөц шаарддаг боловч Mozilla сервер дээр хийгддэг бөгөөд хэрэглэгчдэд бэлэн шинэчлэлтийг өгдөг. Жишээлбэл, хоёртын хувилбарт, үүсгэх явцад ашигласан эх өгөгдөл нь Redis DBMS-д хадгалагдах үед ойролцоогоор 6.7 ГБ санах ой шаарддаг бөгөөд арван зургаатын тоот хэлбэрээр бүх гэрчилгээний серийн дугаарын дамп нь 40 ГБ орчим болно. Бүх хүчингүй болсон болон идэвхтэй гэрчилгээг нэгтгэх үйл явц нь ойролцоогоор 20 минут, Bloom шүүлтүүр дээр суурилсан багцалсан бүтцийг бий болгох үйл явц нь дахин XNUMX минут болно.
Mozilla одоогоор CRLite мэдээллийн баазыг өдөрт дөрвөн удаа шинэчилж байгаа (бүх шинэчлэлтүүдийг үйлчлүүлэгчдэд хүргэдэггүй) баталгаажуулдаг. Дельта шинэчлэлтүүдийг үүсгэх хараахан хэрэгжээгүй байна - хувилбаруудад зориулсан дельта шинэчлэлтүүдийг үүсгэхэд ашигладаг bsdiff4-ийг ашиглах нь CRLite-д хангалттай үр ашгийг өгдөггүй бөгөөд шинэчлэлтүүд нь үндэслэлгүй том байна. Энэ дутагдлыг арилгахын тулд давхаргыг дахин бүтээх, устгах шаардлагагүй хадгалахын тулд хадгалах бүтцийн форматыг дахин боловсруулахаар төлөвлөж байна.
CRLite нь одоогоор Firefox дээр идэвхгүй горимд ажиллаж байгаа бөгөөд зөв үйлдлийн талаарх статистик мэдээллийг хуримтлуулахын тулд OCSP-тэй зэрэгцэн ашиглагддаг. CRLite-г үндсэн скан горимд шилжүүлж болох бөгөөд үүнийг хийхийн тулд та about:config дотор security.pki.crlite_mode = 2 параметрийг тохируулах шаардлагатай.
Эх сурвалж: opennet.ru