Mozilla компани Firefox-ийн шөнийн хувилбаруудад хүчингүй болсон гэрчилгээг илрүүлэх шинэ механизмыг туршиж эхлэх тухай - . CRLite нь хэрэглэгчийн систем дээр байрлуулсан мэдээллийн сантай үр дүнтэй гэрчилгээ хүчингүй болгох шалгалтыг зохион байгуулах боломжийг танд олгоно. Mozilla-ийн CRLite хэрэгжилт үнэгүй MPL 2.0 лицензийн дагуу. Өгөгдлийн сан болон серверийн бүрэлдэхүүн хэсгүүдийг үүсгэх кодыг бичсэн болно болон Go. Мэдээллийн сангаас өгөгдлийг унших зорилгоор Firefox-д үйлчлүүлэгчийн хэсгүүдийг нэмсэн Rust хэлээр.
Ашиглаж байгаа протокол дээр үндэслэн гадны үйлчилгээг ашиглан гэрчилгээний баталгаажуулалт (Онлайн гэрчилгээний статусын протокол) нь баталгаатай сүлжээний хандалтыг шаарддаг, хүсэлтийг боловсруулахад ихээхэн саатал (дунджаар 350 мс) хүргэдэг ба нууцлалыг хангахад асуудал гардаг (хүсэлтэд хариу өгөх OCSP серверүүд тодорхой гэрчилгээний талаарх мэдээллийг хүлээн авдаг бөгөөд энэ нь юу болохыг тодорхойлоход ашиглаж болно. хэрэглэгчийн нээдэг сайтууд). Жагсаалтын эсрэг орон нутгийн шалгалт хийх боломж бас бий (Сертификат хүчингүй болгох жагсаалт), гэхдээ энэ аргын сул тал нь татаж авсан өгөгдлийн маш том хэмжээ юм - одоогоор хүчингүй болсон гэрчилгээний мэдээллийн сан 300 МБ орчим эзэлдэг бөгөөд түүний өсөлт үргэлжилсээр байна.
Баталгаажуулалтын эрх бүхий байгууллагаас хүчингүй болгосон гэрчилгээг хаахын тулд Firefox 2015 оноос хойш төвлөрсөн хар жагсаалтыг ашиглаж байна. үйлчилгээний дуудлагатай хослуулан болзошгүй хортой үйл ажиллагааг тодорхойлох. OneCRL гэх мэт Chrome-д гэрчилгээжүүлэлтийн байгууллагуудаас CRL жагсаалтыг нэгтгэдэг завсрын холбоос болж, хүчингүй болсон гэрчилгээг шалгах нэгдсэн OCSP үйлчилгээгээр хангадаг бөгөөд энэ нь баталгаажуулалтын байгууллагад шууд хүсэлт илгээхгүй байх боломжийг олгодог. Онлайн гэрчилгээ баталгаажуулах үйлчилгээний найдвартай байдлыг сайжруулах талаар их ажил хийсэн ч телеметрийн мэдээллээс үзэхэд OCSP хүсэлтийн 7 гаруй хувь нь (хэдэн жилийн өмнө энэ тоо 15 хувь байсан) хугацаа хэтэрсэн байна.
Анхдагч байдлаар, хэрэв OCSP-ээр баталгаажуулах боломжгүй бол хөтөч нь гэрчилгээг хүчинтэй гэж үзнэ. Сүлжээний асуудал болон дотоод сүлжээн дэх хязгаарлалтын улмаас энэ үйлчилгээг ашиглах боломжгүй эсвэл халдагчид блоклосон байж магадгүй - MITM халдлагын үед OCSP шалгалтыг тойрч гарахын тулд шалгах үйлчилгээнд хандах хандалтыг блоклоход л хангалттай. Ийм халдлагаас урьдчилан сэргийлэх арга техникийг хэсэгчлэн хэрэгжүүлсэн , энэ нь OCSP хандалтын алдаа эсвэл OCSP-ийн боломжгүй байдлыг гэрчилгээтэй холбоотой асуудал гэж үзэх боломжийг олгодог боловч энэ функц нь нэмэлт бөгөөд гэрчилгээг тусгай бүртгэлд оруулахыг шаарддаг.
CRLite нь хүчингүй болсон бүх гэрчилгээний талаарх бүрэн мэдээллийг хялбархан шинэчлэгдэх бүтцэд нэгтгэх боломжийг олгодог, ердөө 1 МБ хэмжээтэй, энэ нь CRL мэдээллийн баазыг үйлчлүүлэгч талдаа бүрэн хадгалах боломжтой болгодог.
Хөтөч нь хүчингүй болсон гэрчилгээний талаарх өгөгдлийн хуулбарыг өдөр бүр синхрончлох боломжтой бөгөөд энэ мэдээллийн сан нь ямар ч нөхцөлд бэлэн байх болно.
CRLite нь мэдээллийг нэгтгэдэг , бүх олгосон болон хүчингүй болсон гэрчилгээний нийтийн бүртгэл, Интернэт дэх гэрчилгээг сканнердсан үр дүн (гэрчилгээний байгууллагуудын янз бүрийн CRL жагсаалтыг цуглуулж, бүх мэдэгдэж буй гэрчилгээний талаарх мэдээллийг нэгтгэсэн). Өгөгдлийг каскад ашиглан багцалсан , дутуу элементийг худал илрүүлэх боломжийг олгодог, гэхдээ одоо байгаа элементийг орхигдуулахгүй байх магадлалын бүтэц (өөрөөр хэлбэл, тодорхой магадлалаар зөв гэрчилгээний хувьд худал эерэг гарах боломжтой, гэхдээ хүчингүй болсон гэрчилгээг тодорхойлох баталгаатай).
Хуурамч эерэг байдлыг арилгахын тулд CRLite нэмэлт залруулах шүүлтүүрийн түвшинг нэвтрүүлсэн. Бүтэцийг үүсгэсний дараа бүх эх сурвалжийн бүртгэлийг хайж, худал эерэг байгаа эсэхийг тогтооно. Энэхүү шалгалтын үр дүнд үндэслэн нэмэлт бүтэц бий болсон бөгөөд энэ нь эхнийх рүү шилжиж, хуурамч эерэг үр дүнг засдаг. Хяналтын шалгалтын явцад гарсан худал үр дүнг бүрэн арилгах хүртэл үйлдлийг давтана. Ерөнхийдөө 7-10 давхарга үүсгэх нь бүх өгөгдлийг бүрэн хамрахад хангалттай. Өгөгдлийн сангийн төлөв байдал нь үе үе синхрончлолын улмаас CRL-ийн одоогийн төлөвөөс бага зэрэг хоцорч байгаа тул CRLite мэдээллийн баазыг сүүлийн шинэчлэлт хийсний дараа гаргасан шинэ гэрчилгээг шалгах ажлыг OCSP протокол, түүний дотор (TLS холболтын талаар хэлэлцээр хийх үед гэрчилгээжүүлэх байгууллагаас баталгаажуулсан OCSP хариуг сайтад үйлчилдэг сервер дамжуулдаг).
Bloom шүүлтүүрийг ашигласнаар 100 сая идэвхтэй гэрчилгээ, 750 мянган хүчингүй болсон гэрчилгээг хамарсан WebPKI-ийн 1.3-р сарын зүсмэл мэдээллийг 16 МБ хэмжээтэй бүтцэд оруулах боломжтой болсон. Бүтэц үүсгэх процесс нь нэлээд их нөөц шаарддаг боловч Mozilla сервер дээр хийгддэг бөгөөд хэрэглэгчдэд бэлэн шинэчлэлтийг өгдөг. Жишээлбэл, хоёртын хувилбарт, үүсгэх явцад ашигласан эх өгөгдөл нь Redis DBMS-д хадгалагдах үед ойролцоогоор 6.7 ГБ санах ой шаарддаг бөгөөд арван зургаатын тоот хэлбэрээр бүх гэрчилгээний серийн дугаарын дамп нь 40 ГБ орчим болно. Бүх хүчингүй болсон болон идэвхтэй гэрчилгээг нэгтгэх үйл явц нь ойролцоогоор 20 минут, Bloom шүүлтүүр дээр суурилсан багцалсан бүтцийг бий болгох үйл явц нь дахин XNUMX минут болно.
Mozilla одоогоор CRLite мэдээллийн баазыг өдөрт дөрвөн удаа шинэчилж байгаа (бүх шинэчлэлтүүдийг үйлчлүүлэгчдэд хүргэдэггүй) баталгаажуулдаг. Дельта шинэчлэлтүүдийг үүсгэх хараахан хэрэгжээгүй байна - хувилбаруудад зориулсан дельта шинэчлэлтүүдийг үүсгэхэд ашигладаг bsdiff4-ийг ашиглах нь CRLite-д хангалттай үр ашгийг өгдөггүй бөгөөд шинэчлэлтүүд нь үндэслэлгүй том байна. Энэ дутагдлыг арилгахын тулд давхаргыг дахин бүтээх, устгах шаардлагагүй хадгалахын тулд хадгалах бүтцийн форматыг дахин боловсруулахаар төлөвлөж байна.
CRLite нь одоогоор Firefox дээр идэвхгүй горимд ажиллаж байгаа бөгөөд зөв үйлдлийн талаарх статистик мэдээллийг хуримтлуулахын тулд OCSP-тэй зэрэгцэн ашиглагддаг. CRLite-г үндсэн скан горимд шилжүүлж болох бөгөөд үүнийг хийхийн тулд та about:config дотор security.pki.crlite_mode = 2 параметрийг тохируулах шаардлагатай.
Эх сурвалж: opennet.ru