ပြဿနာရှိသော TLS လက်မှတ်များကို စစ်ဆေးရန်အတွက် Mozilla သည် CRLite ကို အသုံးပြုသည်။

Mozilla ကုမ္ပဏီ ကြေငြာခဲ့သည် Firefox ၏ ညစဉ်တည်ဆောက်မှုများတွင် စမ်းသပ်ခြင်းစတင်ခြင်းနှင့်ပတ်သက်၍ ရုပ်သိမ်းထားသော လက်မှတ်များကို ရှာဖွေခြင်းအတွက် ယန္တရားအသစ် - CRLite. CRLite သည် အသုံးပြုသူ၏စနစ်တွင် လက်ခံထားသော ဒေတာဘေ့စ်တစ်ခုအား ထိရောက်သော လက်မှတ်ရုပ်သိမ်းခြင်းဆိုင်ရာ စစ်ဆေးခြင်းကို စုစည်းနိုင်စေပါသည်။ Mozilla ၏ CRLite အကောင်အထည်ဖော်မှု ပုံနှိပ်ထုတ်ဝေ အခမဲ့ MPL 2.0 လိုင်စင်အောက်တွင်။ ဒေတာဘေ့စ်နှင့် ဆာဗာ အစိတ်အပိုင်းများကို ဖန်တီးရန်အတွက် ကုဒ်ကို ရေးထားသည်။ Python ကို သွားတော့။ ဒေတာဘေ့စ်မှ ဒေတာကို ဖတ်ရန်အတွက် ဖောက်သည် အပိုင်းများကို Firefox တွင် ထည့်ထားသည်။ ပြင်ဆင် Rust ဘာသာစကားဖြင့်

အသုံးပြုဆဲပရိုတိုကောအပေါ်အခြေခံ၍ ပြင်ပဝန်ဆောင်မှုများကို အသုံးပြု၍ လက်မှတ်အတည်ပြုခြင်း။ OCSP (Online Certificate Status Protocol) သည် အာမခံထားသော ကွန်ရက်ဝင်ရောက်ခွင့် လိုအပ်ပြီး တောင်းဆိုချက်လုပ်ဆောင်ရာတွင် သိသာထင်ရှားသောနှောင့်နှေးမှုဖြစ်စေသည် (ပျမ်းမျှအားဖြင့် 350ms) နှင့် လျှို့ဝှက်ထားမှုကို သေချာစေရန်အတွက် ပြဿနာများရှိနေသည် (တောင်းဆိုချက်များကို တုံ့ပြန်သည့် OCSP ဆာဗာများသည် တိကျသောလက်မှတ်များနှင့်ပတ်သက်သော အချက်အလက်များကို လက်ခံရရှိသည်ဆိုသည်ကို ဆုံးဖြတ်ရန် အသုံးပြုနိုင်သည့်၊ အသုံးပြုသူဖွင့်ထားသောဆိုဒ်များ)။ ဒေသန္တရစာရင်းများကို စစ်ဆေးရန်လည်း ဖြစ်နိုင်ခြေရှိသည်။ C.R.L. (Certificate Revocation List)၊ သို့သော် ဤနည်းလမ်း၏ အားနည်းချက်မှာ ဒေါင်းလုဒ်လုပ်ထားသော ဒေတာ၏ အလွန်ကြီးမားသော အရွယ်အစားဖြစ်သည် - လက်ရှိ ရုပ်သိမ်းလိုက်သော လက်မှတ်များ၏ ဒေတာဘေ့စ်သည် 300 MB ခန့်ရှိပြီး ၎င်း၏ တိုးတက်မှုမှာ ဆက်လက်ရှိနေပါသည်။

အသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်များမှ အပေးအယူလုပ်ကာ ရုပ်သိမ်းထားသော လက်မှတ်များကို ပိတ်ဆို့ရန်အတွက် Firefox သည် 2015 ခုနှစ်ကတည်းက ဗဟိုချုပ်ကိုင်ထားသော အမည်ပျက်စာရင်းကို အသုံးပြုခဲ့သည်။ OneCRL ဝန်ဆောင်မှုပေးရန် ခေါ်ဆိုမှုနှင့် ပေါင်းစပ်ပါ။ Google Safe Browsing ဖြစ်နိုင်ချေရှိသော အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ကို ဖော်ထုတ်ရန်။ OneCRL လိုမျိုး CRLSets Chrome တွင်၊ အသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်များထံမှ CRL စာရင်းများကို စုစည်းပြီး ပြန်လည်ရုပ်သိမ်းထားသော လက်မှတ်များကို စစ်ဆေးရန်အတွက် ဗဟိုချုပ်ကိုင်မှုရှိသော OCSP ဝန်ဆောင်မှုကို ပံ့ပိုးပေးသည့် အလယ်အလတ်လင့်ခ်တစ်ခုအနေဖြင့် လုပ်ဆောင်ပြီး အသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်များထံ တောင်းဆိုမှုများကို တိုက်ရိုက်မပေးပို့နိုင်ပါ။ အွန်လိုင်းလက်မှတ်အတည်ပြုခြင်းဝန်ဆောင်မှု၏ ယုံကြည်စိတ်ချရမှုကို မြှင့်တင်ရန် များစွာလုပ်ဆောင်နေသော်လည်း၊ တယ်လီမီတာဒေတာက OCSP တောင်းဆိုမှုများ၏ 7% ကျော်သည် အချိန်ကုန်သွားသည် (လွန်ခဲ့သည့်နှစ်အနည်းငယ်က ဤကိန်းဂဏန်းသည် 15%) ဖြစ်ကြောင်း ပြသသည်။

ပုံမှန်အားဖြင့်၊ OCSP မှတစ်ဆင့် အတည်ပြုရန် မဖြစ်နိုင်ပါက၊ ဘရောက်ဆာသည် လက်မှတ်ကို တရားဝင်သည်ဟု ယူဆပါသည်။ ကွန်ရက်ပြဿနာများနှင့် အတွင်းကွန်ရက်များပေါ်တွင် ကန့်သတ်ချက်များကြောင့် ဝန်ဆောင်မှုကို မရရှိနိုင်ပါ သို့မဟုတ် တိုက်ခိုက်သူများမှ ပိတ်ဆို့ထားသည် - MITM တိုက်ခိုက်မှုအတွင်း OCSP စစ်ဆေးမှုကို ကျော်ဖြတ်ရန်၊ စစ်ဆေးသည့်ဝန်ဆောင်မှုသို့ ဝင်ရောက်ခွင့်ကို ပိတ်ဆို့လိုက်ရုံဖြင့် ဝန်ဆောင်မှုကို မရနိုင်ပါ။ ထိုသို့သော တိုက်ခိုက်မှုများကို တားဆီးရန် တစ်စိတ်တစ်ပိုင်း၊ နည်းလမ်းတစ်ခုကို အကောင်အထည်ဖော်ခဲ့သည်။ ၀တ်ဆံရေOCSP အသုံးပြုခွင့် အမှား သို့မဟုတ် OCSP မရရှိနိုင်မှုအား လက်မှတ်နှင့် ပြဿနာအဖြစ် ကုသရန် သင့်အား ခွင့်ပြုပေးသော၊ သို့သော် ဤအင်္ဂါရပ်သည် စိတ်ကြိုက်ရွေးချယ်နိုင်ပြီး လက်မှတ်၏ အထူးမှတ်ပုံတင်ရန် လိုအပ်ပါသည်။

CRLite သည် သင့်အား ဖျက်သိမ်းလိုက်သော လက်မှတ်များအားလုံး၏ အချက်အလက်အပြည့်အစုံကို လွယ်ကူစွာ မွမ်းမံထားသော ဖွဲ့စည်းပုံတစ်ခု၊ အရွယ်အစား 1 MB သာရှိသော ပြည့်စုံသော CRL ဒေတာဘေ့စ်ကို ကလိုင်းယင့်ဘက်တွင် သိမ်းဆည်းထားနိုင်စေသည်။
ဘရောက်ဆာသည် ရုပ်သိမ်းလိုက်သော လက်မှတ်များအကြောင်း ဒေတာမိတ္တူကို နေ့စဉ် တစ်ပြိုင်တည်း ချိန်ကိုက်နိုင်မည်ဖြစ်ပြီး၊ ဤဒေတာဘေ့စ်သည် မည်သည့်အခြေအနေတွင်မဆို ရနိုင်မည်ဖြစ်သည်။

CRLite မှ အချက်အလက်များကို ပေါင်းစပ်ထားသည်။ သက်သေခံလက်မှတ်ထုတ်ပေးပြီး ရုပ်သိမ်းထားသော လက်မှတ်များအားလုံး၏ အများသူငှာ မှတ်တမ်းတစ်ခု၊ အင်တာနက်ပေါ်တွင် စကင်န်ဖတ်ခြင်း လက်မှတ်များ၏ ရလဒ်များ (အသိအမှတ်ပြုလက်မှတ် အာဏာပိုင်များ၏ CRL အမျိုးမျိုးကို စုဆောင်းပြီး သိရှိထားသည့် လက်မှတ်များအားလုံးကို စုစည်းထားသည်)။ Cascading ကိုအသုံးပြု၍ Data များကိုထုပ်ပိုးထားသည်။ Bloom ဇကာများပျောက်ဆုံးနေသောဒြပ်စင်အား မှားယွင်းရှာဖွေတွေ့ရှိမှုကို ခွင့်ပြုသည့် ဖြစ်နိုင်ခြေရှိသော ဖွဲ့စည်းပုံတစ်ခု၊ သို့သော် ရှိပြီးသားဒြပ်စင်တစ်ခု၏ ပျက်ကွက်မှုကို ဖယ်ထုတ်ခြင်း (ဆိုလိုသည်မှာ၊ ဖြစ်နိုင်ခြေအချို့နှင့်၊ မှန်ကန်သောလက်မှတ်အတွက် မှားယွင်းသောအပြုသဘော ဖြစ်နိုင်သည်၊ သို့သော် ရုပ်သိမ်းလိုက်သော လက်မှတ်များကို ဖော်ထုတ်ရန် အာမခံပါသည်)။

မှားယွင်းသော အပြုသဘောများကို ဖယ်ရှားရန်၊ CRLite သည် နောက်ထပ် မှန်ကန်သော စစ်ထုတ်မှု အဆင့်များကို မိတ်ဆက်ပေးခဲ့သည်။ ဖွဲ့စည်းပုံကို ဖန်တီးပြီးနောက်၊ အရင်းအမြစ် မှတ်တမ်းများအားလုံးကို ရှာဖွေပြီး မှားယွင်းသော အပြုသဘောများကို ဖော်ထုတ်သည်။ ဤစစ်ဆေးမှု၏ရလဒ်များအပေါ်အခြေခံ၍ ပထမတစ်ခုပေါ်တွင် အကျုံးဝင်ပြီး ထွက်ပေါ်လာသော မှားယွင်းသောအပြုသဘောများကို ပြင်ဆင်ပေးသည့် အပိုဖွဲ့စည်းပုံတစ်ခုကို ဖန်တီးထားသည်။ ထိန်းချုပ်စစ်ဆေးမှုအတွင်း မှားယွင်းသောအပြုသဘောများကို လုံးဝဖယ်ရှားပစ်သည်အထိ လုပ်ဆောင်ချက်ကို ထပ်ခါတလဲလဲ လုပ်ဆောင်သည်။ ပုံမှန်အားဖြင့်၊ အလွှာ 7-10 ခု ဖန်တီးခြင်းသည် ဒေတာအားလုံးကို လုံးလုံးလျားလျား ဖုံးအုပ်ရန် လုံလောက်ပါသည်။ အချိန်အခါအလိုက် ထပ်တူပြုခြင်းကြောင့် ဒေတာဘေ့စ်၏အခြေအနေသည် CRL ၏လက်ရှိအခြေအနေထက် အနည်းငယ်နောက်ကျနေသောကြောင့် CRLite ဒေတာဘေ့စ်၏နောက်ဆုံးမွမ်းမံမှုအပြီးတွင် ထုတ်ပေးထားသော လက်မှတ်အသစ်များကို စစ်ဆေးခြင်း OCSP ပရိုတိုကောကိုအသုံးပြုခြင်းအပါအဝင်၊ OCSP တံဆိပ်ကပ်ခြင်း။ (TLS ချိတ်ဆက်မှုကို ညှိနှိုင်းသောအခါတွင် ဆိုက်ကို ဝန်ဆောင်မှုပေးသော ဆာဗာမှ အသိအမှတ်ပြုထားသော OCSP တုံ့ပြန်မှုတစ်ခု)။

Bloom စစ်ထုတ်မှုများကို အသုံးပြု၍ အသုံးပြုနေသော အသိအမှတ်ပြုလက်မှတ် သန်း 100 နှင့် ရုပ်သိမ်းထားသော လက်မှတ်ပေါင်း 750 ကို လွှမ်းခြုံထားသည့် WebPKI မှ ဒီဇင်ဘာ အစိပ်အပိုင်းကို အရွယ်အစား 1.3 MB ရှိသော ဖွဲ့စည်းပုံအဖြစ် ထုပ်ပိုးနိုင်ခဲ့သည်။ ဖွဲ့စည်းတည်ဆောက်ပုံ ထုတ်လုပ်မှု လုပ်ငန်းစဉ်သည် အရင်းအမြစ်-အသုံးများသော်လည်း ၎င်းကို Mozilla ဆာဗာတွင် လုပ်ဆောင်ပြီး အသုံးပြုသူကို အဆင်သင့်လုပ်ထားသော အပ်ဒိတ်ကို ပေးထားသည်။ ဥပမာအားဖြင့်၊ ဒွိပုံစံတွင်၊ မျိုးဆက်အတွင်းအသုံးပြုသည့် ရင်းမြစ်ဒေတာသည် Redis DBMS တွင် သိမ်းဆည်းသည့်အခါ 16 GB ခန့်လိုအပ်ပြီး ဆယ်ဂဏန်းဒသမပုံစံတွင်၊ လက်မှတ်အမှတ်စဉ်နံပါတ်များအားလုံး၏ အမှိုက်ပုံသည် 6.7 GB ခန့်ကြာသည်။ ရုပ်သိမ်းပြီး တက်ကြွသော လက်မှတ်များအားလုံးကို ပေါင်းစည်းခြင်း လုပ်ငန်းစဉ်သည် မိနစ် 40 ခန့် ကြာပြီး၊ Bloom filter ကို အခြေခံ၍ ထုပ်ပိုးထားသော ဖွဲ့စည်းပုံကို ထုတ်ပေးသည့် လုပ်ငန်းစဉ်သည် နောက်ထပ် မိနစ် 20 ကြာပါသည်။

Mozilla သည် CRLite ဒေတာဘေ့စ်ကို တစ်ရက်လျှင် လေးကြိမ် အပ်ဒိတ်လုပ်ကြောင်း (အပ်ဒိတ်အားလုံးကို ဖောက်သည်များထံ ပေးပို့ခြင်းမဟုတ်ပါ)။ မြစ်ဝကျွန်းပေါ် အပ်ဒိတ်များ၏ မျိုးဆက်ကို အကောင်အထည် မဖော်ရသေးပါ - ထုတ်ဝေမှုများ အတွက် မြစ်ဝကျွန်းပေါ် အပ်ဒိတ်များ ဖန်တီးရန် အသုံးပြုသည့် bsdiff4 ကို အသုံးပြုခြင်းသည် CRLite အတွက် လုံလောက်သော ထိရောက်မှု မပေးနိုင်ဘဲ အပ်ဒိတ်များသည် ကျိုးကြောင်းဆီလျော်စွာ ကြီးမားပါသည်။ ဤအားနည်းချက်ကို ဖယ်ရှားရန်၊ မလိုအပ်သော ပြန်လည်တည်ဆောက်ခြင်းနှင့် အလွှာများကို ဖျက်ခြင်းတို့ကို ဖယ်ရှားရန် သိုလှောင်မှုပုံစံကို ပြန်လည်ပြင်ဆင်ရန် စီစဉ်ထားသည်။

CRLite သည် လက်ရှိတွင် Firefox တွင် passive mode တွင်အလုပ်လုပ်ပြီး မှန်ကန်သောလုပ်ဆောင်ချက်နှင့်ပတ်သက်သည့်စာရင်းအင်းများကိုစုဆောင်းရန်အတွက် OCSP နှင့်အပြိုင်အသုံးပြုပါသည်။ CRLite ကို ပင်မစကင်န်မုဒ်သို့ ပြောင်းနိုင်သည်၊ ၎င်းကိုလုပ်ဆောင်ရန်၊ သင်သည် လုံခြုံရေး.pki.crlite_mode = 2 ကို about:config တွင် ကန့်သတ်ရန် လိုအပ်သည်။

source: opennet.ru