Mozilla ڪمپني فائر فاڪس نائيٽلي بلڊز ۾ رد ٿيل سرٽيفڪيٽن کي ڳولڻ لاءِ هڪ نئين ميڪانيزم جي جانچ جي شروعات بابت - CRLite استعمال ڪندڙ جي سسٽم تي رکيل ڊيٽابيس جي خلاف موثر سرٽيفڪيٽ منسوخي جي جانچ کي فعال بڻائي ٿو. CRLite لاڳو ڪرڻ Mozilla تي ترقي ڪئي پئي وڃي. مفت MPL 2.0 لائسنس تحت. ڊيٽابيس جي پيداوار ۽ سرور جي حصن لاءِ ڪوڊ لکيل آهن ۽ وڃو. فائر فاڪس ۾ شامل ڪيل ڊيٽابيس مان ڊيٽا پڙهڻ لاءِ ڪلائنٽ سائڊ جزا رسٽ ٻولي ۾.
سرٽيفڪيٽن جي تصديق، جيڪا اڄ به استعمال ۾ آهي، پروٽوڪول جي بنياد تي ٻاهرين خدمتون شامل آهن (آن لائن سرٽيفڪيٽ اسٽيٽس پروٽوڪول) کي ضمانت واري نيٽ ورڪ رسائي جي ضرورت آهي، درخواست جي پروسيسنگ ۾ هڪ اهم دير متعارف ڪرائي ٿي (اوسط 350 ايم ايس)، ۽ رازداري جا مسئلا آهن (جواب ڏيڻ وارا او سي ايس پي سرور مخصوص سرٽيفڪيٽن بابت معلومات حاصل ڪن ٿا، جيڪو اهو طئي ڪرڻ لاءِ استعمال ڪري سگهجي ٿو ته صارف ڪهڙين ويب سائيٽن جو دورو ڪري رهيو آهي). فهرستن جي خلاف مقامي چيڪ پڻ موجود آهن. (سرٽيفڪيٽ رد ڪرڻ جي فهرست)، پر هن طريقي جو نقصان ڊائون لوڊ ڪيل ڊيٽا جو تمام وڏو سائيز آهي - هن وقت رد ٿيل سرٽيفڪيٽن جو ڊيٽابيس تقريباً 300 ايم بي وٺندو آهي ۽ وڌندو رهي ٿو.
فائر فاڪس 2015 کان وٺي سمجھوتي ۽ رد ٿيل سرٽيفڪيٽن کي بلاڪ ڪرڻ لاءِ هڪ مرڪزي بليڪ لسٽ استعمال ڪيو آهي. خدمت جي درخواست سان گڏ ممڪن خراب سرگرمي جي سڃاڻپ ڪرڻ لاءِ. OneCRL، جهڙوڪ ڪروم ۾، اهو هڪ وچولي طور ڪم ڪري ٿو جيڪو CAs مان CRLs کي گڏ ڪري ٿو ۽ رد ٿيل سرٽيفڪيٽن جي جانچ لاءِ هڪ واحد، مرڪزي OCSP سروس فراهم ڪري ٿو، سڌو سنئون CAs ڏانهن درخواستون موڪلڻ جي ضرورت کي ختم ڪري ٿو. آن لائن سرٽيفڪيٽ جي تصديق جي خدمت جي اعتبار کي بهتر بڻائڻ لاءِ وسيع ڪم جي باوجود، ٽيلي ميٽري ڊيٽا ڏيکاري ٿو ته 7٪ کان وڌيڪ OCSP درخواستن جو وقت ختم ٿي ويو (ڪجهه سال اڳ، هي انگ 15٪ هو).
ڊفالٽ طور، جيڪڏهن OCSP تصديق ممڪن نه آهي، ته برائوزر سرٽيفڪيٽ کي صحيح سمجهي ٿو. نيٽ ورڪ مسئلن ۽ اندروني نيٽ ورڪ پابندين جي ڪري سروس دستياب نه ٿي سگهي ٿي، يا اهو حملي آورن طرفان بلاڪ ٿي سگهي ٿو. مين-ان-دي-ميڊل حملي دوران OCSP تصديق کي نظرانداز ڪرڻ لاءِ، صرف تصديق سروس تائين رسائي کي بلاڪ ڪرڻ ڪافي آهي. اهڙن حملن کي جزوي طور تي روڪڻ لاءِ هڪ ٽيڪنڪ لاڳو ڪئي وئي آهي. ، جيڪو OCSP درخواست جي غلطي يا OCSP جي غير موجودگي کي سرٽيفڪيٽ سان مسئلو طور سمجهڻ جي اجازت ڏئي ٿو، پر هي خاصيت اختياري آهي ۽ خاص سرٽيفڪيٽ ڊيزائن جي ضرورت آهي.
CRLite توهان کي سڀني رد ٿيل سرٽيفڪيٽن بابت مڪمل معلومات کي آساني سان اپڊيٽ ٿيل ڍانچي ۾ گڏ ڪرڻ جي اجازت ڏئي ٿو، صرف 1 MB سائيز ۾، توهان کي ڪلائنٽ پاسي تي سڄو CRL ڊيٽابيس ذخيرو ڪرڻ جي اجازت ڏئي ٿو.
برائوزر روزانو رد ٿيل سرٽيفڪيٽن تي ڊيٽا جي ڪاپي کي هم وقت سازي ڪرڻ جي قابل هوندو، ۽ هي ڊيٽابيس ڪنهن به حالت ۾ دستياب هوندو.
CRLite معلومات کي گڏ ڪري ٿو ، سڀني جاري ڪيل ۽ رد ٿيل سرٽيفڪيٽن جو هڪ عوامي لاگ، ۽ انٽرنيٽ تي سرٽيفڪيٽن جي اسڪيننگ جا نتيجا (سرٽيفڪيشن اختيارين جي مختلف CRL لسٽون گڏ ڪيون وينديون آهن ۽ سڀني سڃاتل سرٽيفڪيٽن تي معلومات گڏ ڪئي ويندي آهي). ڊيٽا ڪيسڪيڊنگ استعمال ڪندي پيڪيج ڪيو ويندو آهي. ، هڪ امڪاني structure جيڪا گم ٿيل عنصر جي غلط مثبت ڳولا جي اجازت ڏئي ٿي، پر موجوده عنصر جي ڇڏڻ کي خارج ڪري ٿي (يعني، هڪ خاص امڪان سان، هڪ صحيح سرٽيفڪيٽ لاءِ غلط مثبت ممڪن آهي، پر رد ٿيل سرٽيفڪيٽن جي ڳولا جي ضمانت آهي).
غلط مثبت کي ختم ڪرڻ لاءِ، CRLite اضافي فلٽر اصلاحي پرتون متعارف ڪرايون آهن. ڍانچي جي پيدا ٿيڻ کان پوءِ، سڀئي سورس رڪارڊ ٻيهر ورجايا ويندا آهن ۽ ڪنهن به غلط مثبت جي سڃاڻپ ڪئي ويندي آهي. هن چيڪ جي نتيجن جي بنياد تي، هڪ اضافي ڍانچو ٺاهيو ويندو آهي، پهرين تي ڪيسڪيڊنگ ڪندي ۽ ڪنهن به غلط مثبت کي درست ڪندي جيڪو ٿيو آهي. هي آپريشن بار بار ڪيو ويندو آهي جيستائين ڪنٽرول چيڪ دوران غلط مثبت مڪمل طور تي ختم نه ٿي وڃن. عام طور تي، 7-10 پرتون ٺاهڻ سڀني ڊيٽا کي مڪمل طور تي ڍڪڻ لاءِ ڪافي آهي. جيئن ته ڊيٽابيس اسٽيٽ وقتي هم وقت سازي جي ڪري موجوده CRL اسٽيٽ کان ٿورو پوئتي رهي ٿي، آخري CRLite ڊيٽابيس اپڊيٽ کان وٺي جاري ڪيل نئين سرٽيفڪيٽن جي تصديق OCSP پروٽوڪول استعمال ڪندي ڪئي ويندي آهي، جنهن ۾ ٽيڪنڪ جو استعمال شامل آهي. (هڪ سرٽيفڪيشن اٿارٽي پاران تصديق ٿيل OCSP جواب سائيٽ جي خدمت ڪندڙ سرور طرفان منتقل ڪيو ويندو آهي جڏهن TLS ڪنيڪشن تي ڳالهه ٻولهه ڪئي ويندي آهي).
بلوم فلٽر استعمال ڪندي، WebPKI ڊيٽا جو ڊسمبر سنيپ شاٽ، جيڪو 100 ملين فعال سرٽيفڪيٽن ۽ 750 رد ٿيل سرٽيفڪيٽن کي ڍڪيندو هو، 1.3 MB جي جوڙجڪ ۾ دٻايو ويو. جوڙجڪ جي پيداوار جو عمل ڪافي وسيلن تي ٻڌل آهي، پر اهو هڪ Mozilla سرور تي هلندو آهي، ۽ صارف کي هڪ تيار ٿيل اپڊيٽ ملي ٿي. مثال طور، نسل لاءِ استعمال ٿيندڙ بائنري ڊيٽا کي ريڊيس DBMS ۾ ذخيرو ڪرڻ وقت تقريبن 16 GB ميموري جي ضرورت هوندي آهي، جڏهن ته سڀني سرٽيفڪيٽ سيريل نمبرن جي هيڪساڊيسيمل ڊمپ کي تقريبن 6.7 GB لڳندو آهي. سڀني منسوخ ٿيل ۽ فعال سرٽيفڪيٽن کي گڏ ڪرڻ جي عمل ۾ تقريبن 40 منٽ لڳندا آهن، ۽ بلوم فلٽر استعمال ڪندي دٻايل جوڙجڪ کي پيدا ڪرڻ ۾ اضافي 20 منٽ لڳندا آهن.
موزيلا هن وقت CRLite ڊيٽابيس کي ڏينهن ۾ چار ڀيرا اپڊيٽ ڪري ٿو (سڀئي اپڊيٽ ڪلائنٽس تائين نه پهچايا ويندا آهن). ڊيلٽا اپڊيٽ جنريشن اڃا تائين لاڳو نه ڪيو ويو آهي - ڊيلٽا رليز اپڊيٽ ٺاهڻ لاءِ استعمال ٿيندڙ bsdiff4 CRLite لاءِ ضروري ڪارڪردگي فراهم نٿو ڪري، جنهن جي نتيجي ۾ غير ضروري طور تي وڏيون اپڊيٽس پيدا ٿين ٿيون. هن گهٽتائي کي دور ڪرڻ لاءِ، غير ضروري تعمير نو ۽ پرت کي هٽائڻ کي ختم ڪرڻ لاءِ اسٽوريج اسٽرڪچر فارميٽ کي ٻيهر ڪم ڪرڻ جا منصوبا جاري آهن.
CRLite هن وقت فائر فاڪس ۾ غير فعال موڊ ۾ ڪم ڪري ٿو ۽ OCSP سان گڏ ان جي صحيح آپريشن تي انگ اکر گڏ ڪرڻ لاءِ استعمال ڪيو ويندو آهي. about:config ۾ security.pki.crlite_mode پيرا ميٽر کي 2 تي سيٽ ڪندي CRLite کي پرائمري تصديق موڊ ۾ تبديل ڪري سگهجي ٿو.
جو ذريعو: opennet.ru
