د موزیلا شرکت د فایرفوکس د شپې جوړونو کې د ازموینې پیل کولو په اړه د رد شوي سندونو موندلو لپاره یو نوی میکانیزم - . CRLite تاسو ته اجازه درکوي د کارونکي سیسټم کې کوربه شوي ډیټابیس په وړاندې د مؤثره سند ردولو چک تنظیم کړئ. د موزیلا د CRLite پلي کول د وړیا MPL 2.0 جواز لاندې. د ډیټابیس او سرور اجزاو رامینځته کولو لپاره کوډ لیکل شوی او لاړ شه. د ډیټابیس څخه د معلوماتو لوستلو لپاره د پیرودونکي برخې فایرفوکس ته اضافه شوي د زنګ په ژبه.
د پروتوکول پراساس د بهرني خدماتو په کارولو سره د سند تصدیق چې لاهم کارول کیږي (د آنلاین سند حالت پروتوکول) تضمین شوي شبکې لاسرسي ته اړتیا لري ، د غوښتنې پروسس کولو کې د پام وړ ځنډ لامل کیږي (په اوسط ډول 350ms) او د محرمیت ډاډ ترلاسه کولو کې ستونزې لري (د OCSP سرورونو غوښتنو ته ځواب ویل د ځانګړي سندونو په اړه معلومات ترلاسه کوي ، کوم چې د قضاوت لپاره کارول کیدی شي چې ایا څه هغه سایټونه چې کارونکي یې خلاصوي). د لیستونو په وړاندې د محلي چک کولو امکان هم شتون لري (د سند ردولو لیست)، مګر د دې میتود نیمګړتیا د ډاونلوډ شوي ډیټا خورا لوی اندازه ده - اوس مهال د رد شوي سندونو ډیټابیس شاوخوا 300 MB لري او وده یې دوام لري.
د هغو سندونو د بندولو لپاره چې د تصدیق چارواکو لخوا جوړ شوي او لغوه شوي، فایرفوکس له 2015 راهیسې یو مرکزي تور لیست کارولی دی خدمت ته د زنګ سره په ترکیب کې د احتمالي ناوړه فعالیت پیژندلو لپاره. OneCRL، لکه په کروم کې، د منځګړیتوب لینک په توګه کار کوي چې د تصدیق چارواکو څخه د CRL لیستونه راټولوي او د رد شوي سندونو چک کولو لپاره یو واحد مرکزي OCSP خدمت چمتو کوي، دا ممکنه نه کوي چې غوښتنې په مستقیم ډول د تصدیق چارواکو ته واستوي. د آنلاین سند تصدیق خدماتو د اعتبار د ښه کولو لپاره د ډیرو کارونو سره سره، د ټیلی میټری ډاټا ښیي چې د OCSP له 7٪ څخه ډیر د وخت پای ته رسیدو غوښتنه کوي (څو کاله دمخه دا شمیره 15٪ وه).
په ډیفالټ ، که چیرې د OCSP له لارې تایید کول ناممکن وي ، براوزر سند معتبر ګڼي. خدمت ممکن د شبکې ستونزو او په داخلي شبکو کې د محدودیتونو له امله شتون ونلري، یا د برید کونکو لخوا بند شوی وي - د MITM برید په جریان کې د OCSP چیک څخه د تیریدو لپاره، په ساده ډول د چک خدماتو ته لاسرسی بند کړئ. د دا ډول بریدونو د مخنیوي لپاره، یو تخنیک پلي شوی دی ، کوم چې تاسو ته اجازه درکوي د سند سره د ستونزې په توګه د OCSP لاسرسي غلطۍ یا OCSP نشتوالي درملنه وکړئ ، مګر دا خصوصیت اختیاري دی او د سند ځانګړي راجسټریشن ته اړتیا لري.
CRLite تاسو ته اجازه درکوي چې د ټولو رد شوي سندونو په اړه بشپړ معلومات په اسانۍ سره تازه شوي جوړښت کې راټول کړئ، یوازې 1 MB اندازه، کوم چې د پیرودونکي اړخ کې د بشپړ CRL ډیټابیس ذخیره کول ممکنه کوي.
براوزر به وکولی شي هره ورځ د رد شوي سندونو په اړه د ډیټا کاپي همغږي کړي ، او دا ډیټابیس به په هرډول شرایطو کې شتون ولري.
CRLite د معلوماتو سره یوځای کوي ، د ټولو صادر شوي او رد شوي سندونو عامه لاګ ، او په انټرنیټ کې د سندونو سکین کولو پایلې (د تصدیق چارواکو مختلف CRL لیستونه راټول شوي او د ټولو پیژندل شوي سندونو په اړه معلومات راټول شوي). معلومات د کاسکیډینګ په کارولو سره بسته شوي , یو احتمالي جوړښت چې د ورک شوي عنصر غلط کشف ته اجازه ورکوي، مګر د موجوده عنصر له مینځه وړل خارجوي (د بیلګې په توګه، د یو ځانګړي احتمال سره، د سم سند لپاره غلط مثبت ممکن دی، مګر رد شوي سندونه د پیژندلو تضمین کیږي).
د غلط مثبتو له مینځه وړو لپاره، CRLite اضافي اصلاحي فلټر کچه معرفي کړې. د جوړښت له جوړولو وروسته، د ټولو سرچینو ریکارډونه پلټل کیږي او کوم غلط مثبت پیژندل کیږي. د دې چک د پایلو پراساس، یو اضافي جوړښت رامینځته شوی، کوم چې په لومړي سر کې کاسکیډ شوی او د غلط مثبت پایلې سموي. عملیات تکرار کیږي تر هغه چې د کنټرول چیک پرمهال غلط مثبتونه په بشپړ ډول له مینځه ویسي. عموما، د 7-10 پرتونو جوړول کافي دي چې ټول معلومات په بشپړه توګه پوښي. له هغه وخته چې د ډیټابیس حالت، د دوراني همغږي کولو له امله، د CRL اوسني حالت څخه یو څه وروسته پاتې دی، د CRLite ډیټابیس وروستي تازه کولو وروسته صادر شوي نوي سندونو معاینه کول د OCSP پروتوکول په کارولو سره ترسره کیږي، په شمول. (د OCSP ځواب چې د تصدیق کولو ادارې لخوا تصدیق شوی د سرور لخوا لیږدول کیږي کله چې د TLS اتصال په اړه خبرې اترې کوي).
د بلوم فلټرونو په کارولو سره، د دسمبر میاشت د WebPKI څخه د معلوماتو سلسله، چې 100 ملیون فعال سندونه او 750 زره رد شوي سندونه پوښي، د 1.3 MB په اندازې جوړښت کې بسته کولو وړ و. د جوړښت تولید پروسه خورا د سرچینې په توګه ده، مګر دا په موزیلا سرور کې ترسره کیږي او کارونکي ته چمتو شوي تازه معلومات ورکول کیږي. د مثال په توګه، په بائنری بڼه کې، د تولید په جریان کې کارول شوي سرچینې ډاټا شاوخوا 16 GB حافظې ته اړتیا لري کله چې په Redis DBMS کې زیرمه شوي، او د هیکساډیسیمل بڼه کې، د ټولو سندونو سیریل نمبرونو ډمپ شاوخوا 6.7 GB وخت نیسي. د ټولو رد شوي او فعال سندونو راټولولو پروسه شاوخوا 40 دقیقې وخت نیسي ، او د بلوم فلټر پراساس د بسته شوي جوړښت رامینځته کولو پروسه نور 20 دقیقې وخت نیسي.
موزیلا اوس مهال ډاډ ترلاسه کوي چې د CRLite ډیټابیس په ورځ کې څلور ځله تازه کیږي (ټول تازه معلومات پیرودونکو ته نه سپارل کیږي). د ډیلټا تازه معلوماتو رامینځته کول لاهم ندي پلي شوي - د bsdiff4 کارول ، د ریلیزونو لپاره د ډیلټا تازه معلوماتو رامینځته کولو لپاره کارول کیږي ، د CRLite لپاره کافي موثریت نه وړاندې کوي او تازه معلومات په غیر معقول ډول لوی دي. د دې نیمګړتیا له مینځه وړو لپاره، دا پالن شوی چې د ذخیره کولو جوړښت بڼه بیا کار وکړي ترڅو غیر ضروري بیا رغونه او د پرتونو له مینځه وړل له منځه یوسي.
CRLite اوس مهال په فایرفوکس کې په غیر فعال حالت کې کار کوي او د OCSP سره موازي کارول کیږي ترڅو د سم عملیاتو په اړه احصایې راټول کړي. CRLite اصلي سکین حالت ته لیږدول کیدی شي؛ د دې کولو لپاره، تاسو اړتیا لرئ چې پیرامیټر security.pki.crlite_mode = 2 په اړه:config کې تنظیم کړئ.
سرچینه: opennet.ru