Syarikat Mozilla
Pengesahan sijil menggunakan perkhidmatan luaran berdasarkan protokol yang masih digunakan
Untuk menyekat sijil yang telah dikompromi dan dibatalkan oleh pihak berkuasa pensijilan, Firefox telah menggunakan senarai hitam terpusat sejak 2015
Secara lalai, jika mustahil untuk mengesahkan melalui OCSP, penyemak imbas menganggap sijil itu sah. Perkhidmatan ini mungkin tidak tersedia kerana masalah rangkaian dan sekatan pada rangkaian dalaman, atau disekat oleh penyerang - untuk memintas semakan OCSP semasa serangan MITM, hanya sekat akses kepada perkhidmatan semakan. Sebahagiannya untuk mengelakkan serangan sedemikian, teknik telah dilaksanakan
CRLite membolehkan anda menyatukan maklumat lengkap tentang semua sijil yang dibatalkan ke dalam struktur yang dikemas kini dengan mudah, hanya bersaiz 1 MB, yang membolehkan anda menyimpan pangkalan data CRL yang lengkap di sisi pelanggan.
Penyemak imbas akan dapat menyegerakkan salinan data mengenai sijil yang dibatalkan setiap hari, dan pangkalan data ini akan tersedia dalam sebarang syarat.
CRLite menggabungkan maklumat daripada
Untuk menghapuskan positif palsu, CRLite telah memperkenalkan tahap penapis pembetulan tambahan. Selepas menghasilkan struktur, semua rekod sumber dicari dan sebarang positif palsu dikenal pasti. Berdasarkan keputusan semakan ini, struktur tambahan dicipta, yang dilantunkan pada yang pertama dan membetulkan positif palsu yang terhasil. Operasi diulang sehingga positif palsu semasa pemeriksaan kawalan dihapuskan sepenuhnya. Lazimnya, membuat 7-10 lapisan sudah memadai untuk menampung semua data sepenuhnya. Memandangkan keadaan pangkalan data, disebabkan penyegerakan berkala, ketinggalan sedikit di belakang keadaan semasa CRL, semakan sijil baharu yang dikeluarkan selepas kemas kini terakhir pangkalan data CRLite dijalankan menggunakan protokol OCSP, termasuk menggunakan
Menggunakan penapis Bloom, sekeping maklumat Disember daripada WebPKI, meliputi 100 juta sijil aktif dan 750 ribu sijil yang dibatalkan, dapat dimuatkan ke dalam struktur bersaiz 1.3 MB. Proses penjanaan struktur agak intensif sumber, tetapi ia dilakukan pada pelayan Mozilla dan pengguna diberi kemas kini siap sedia. Contohnya, dalam bentuk binari, data sumber yang digunakan semasa penjanaan memerlukan kira-kira 16 GB memori apabila disimpan dalam DBMS Redis, dan dalam bentuk perenambelasan, pembuangan semua nombor siri sijil mengambil masa kira-kira 6.7 GB. Proses mengagregatkan semua sijil yang dibatalkan dan aktif mengambil masa kira-kira 40 minit, dan proses menjana struktur berpakej berdasarkan penapis Bloom mengambil masa 20 minit lagi.
Mozilla pada masa ini memastikan bahawa pangkalan data CRLite dikemas kini empat kali sehari (tidak semua kemas kini dihantar kepada pelanggan). Penjanaan kemas kini delta masih belum dilaksanakan - penggunaan bsdiff4, digunakan untuk membuat kemas kini delta untuk keluaran, tidak memberikan kecekapan yang mencukupi untuk CRLite dan kemas kini adalah besar yang tidak munasabah. Untuk menghapuskan kelemahan ini, ia dirancang untuk mengolah semula format struktur storan untuk menghapuskan pembinaan semula dan pemadaman lapisan yang tidak perlu.
CRLite kini berfungsi dalam Firefox dalam mod pasif dan digunakan selari dengan OCSP untuk mengumpul statistik tentang operasi yang betul. CRLite boleh ditukar kepada mod imbasan utama; untuk melakukan ini, anda perlu menetapkan parameter security.pki.crlite_mode = 2 dalam about:config.
Sumber: opennet.ru