Mozilla ڪمپني فائر فاڪس جي رات جي تعمير ۾ جاچ جي شروعات بابت رد ٿيل سرٽيفڪيٽن کي ڳولڻ لاءِ هڪ نئون ميکانيزم - . CRLite توهان کي منظم ڪرڻ جي اجازت ڏئي ٿي موثر سرٽيفڪيٽ رد ڪرڻ جي چڪاس کي صارف جي سسٽم تي ميزباني ڪيل ڊيٽابيس جي خلاف. Mozilla جي CRLite تي عملدرآمد مفت MPL 2.0 لائسنس تحت. ڊيٽابيس ۽ سرور جي اجزاء کي ٺاهڻ لاء ڪوڊ ۾ لکيل آهن ۽ وڃ. ڊيٽابيس مان ڊيٽا پڙهڻ لاءِ فائر فاڪس ۾ ڪلائنٽ جا حصا شامل ڪيا ويا زنگ جي ٻولي ۾.
پروٽوڪول جي بنياد تي ٻاهرين خدمتن کي استعمال ڪندي سرٽيفڪيٽ جي تصديق جيڪا اڃا تائين استعمال ڪئي وئي آهي (آن لائن سرٽيفڪيٽ اسٽيٽس پروٽوڪول) نيٽ ورڪ جي رسائي جي ضمانت جي ضرورت آهي، درخواست جي پروسيسنگ ۾ وڏي دير جي ڪري ٿي (اوسط طور تي 350ms) ۽ رازداري کي يقيني بڻائڻ ۾ مسئلو آهي (او سي ايس پي سرورز جيڪي درخواستن جو جواب ڏين ٿا انهن کي مخصوص سرٽيفڪيٽن بابت معلومات ملي ٿي، جيڪو فيصلو ڪرڻ لاء استعمال ڪري سگهجي ٿو ته ڇا سائيٽون استعمال ڪندڙ کولي ٿو). لسٽن جي خلاف مقامي چيڪنگ جو امڪان پڻ آهي (سرٽيفڪيٽ رد ڪرڻ جي فهرست)، پر هن طريقي جو نقصان اهو آهي ته ڊائون لوڊ ڪيل ڊيٽا جي تمام وڏي سائيز - هن وقت منسوخ ٿيل سرٽيفڪيٽن جو ڊيٽابيس تقريبا 300 MB تي قبضو ڪري ٿو ۽ ان جي ترقي جاري آهي.
انهن سرٽيفڪيٽن کي بلاڪ ڪرڻ لاءِ جن کي سرٽيفڪيشن اختيارين طرفان سمجھوتو ۽ رد ڪيو ويو آهي، فائر فاڪس 2015 کان مرڪزي بليڪ لسٽ استعمال ڪيو آهي خدمت جي سڏ سان گڏ ممڪن بدسلوڪي سرگرمي جي سڃاڻپ ڪرڻ لاء. OneCRL، جهڙوڪ ڪروم ۾، هڪ وچولي لنڪ جي طور تي ڪم ڪري ٿو جيڪو سرٽيفڪيشن اختيارين کان CRL لسٽن کي گڏ ڪري ٿو ۽ رد ٿيل سرٽيفڪيٽن جي جانچ ڪرڻ لاءِ هڪ واحد مرڪزي OCSP سروس مهيا ڪري ٿو، اهو ممڪن بڻائي ٿو ته درخواستون سڌو سنئون سرٽيفڪيشن اختيارين ڏانهن نه موڪليون. آن لائن سرٽيفڪيٽ جي تصديق جي سروس جي اعتبار کي بهتر بڻائڻ لاءِ تمام گهڻي ڪم ڪرڻ جي باوجود، ٽيلي ميٽري ڊيٽا ڏيکاري ٿي ته 7% کان وڌيڪ OCSP درخواستن جو وقت ختم ڪري ٿو (ڪجهه سال اڳ اهو انگ 15% هو).
ڊفالٽ طور، جيڪڏهن OCSP ذريعي تصديق ڪرڻ ناممڪن آهي، برائوزر ان کي صحيح سمجهي ٿو. نيٽ ورڪ جي مسئلن ۽ اندروني نيٽ ورڪن تي پابندين جي ڪري، يا حملي ڪندڙن طرفان بند ٿيل سروس دستياب نه ٿي سگھي ٿي - MITM حملي دوران OCSP چيڪ کي نظرانداز ڪرڻ لاءِ، بس چيڪ سروس تائين رسائي کي بلاڪ ڪريو. جزوي طور تي اهڙن حملن کي روڪڻ لاء، هڪ ٽيڪنڪ لاڳو ڪيو ويو آهي , جيڪو توهان کي اجازت ڏئي ٿو OCSP رسائي جي غلطي يا OCSP جي غير موجودگي کي سرٽيفڪيٽ سان مسئلو طور تي، پر هي مضمون اختياري آهي ۽ سرٽيفڪيٽ جي خاص رجسٽريشن جي ضرورت آهي.
CRLite توهان کي اجازت ڏئي ٿو ته سڀني رد ٿيل سرٽيفڪيٽن بابت مڪمل معلومات کي آساني سان تازه ڪاري ٿيل ڍانچي ۾، صرف 1 MB سائيز ۾، جيڪو ڪلائنٽ جي پاسي تي مڪمل CRL ڊيٽابيس کي ذخيرو ڪرڻ ممڪن بڻائي ٿو.
برائوزر روزاني رد ٿيل سرٽيفڪيٽن بابت ڊيٽا جي ان جي ڪاپي کي هم وقت سازي ڪرڻ جي قابل هوندو، ۽ هي ڊيٽابيس ڪنهن به حالت ۾ دستياب هوندو.
CRLite کان معلومات گڏ ڪري ٿي ، سڀني جاري ڪيل ۽ منسوخ ٿيل سرٽيفڪيٽن جو هڪ عوامي لاگ، ۽ انٽرنيٽ تي اسڪيننگ سرٽيفڪيٽ جا نتيجا (سرٽيفڪيشن اختيارين جي مختلف CRL لسٽون گڏ ڪيون ويون آهن ۽ سڀني سڃاتل سرٽيفڪيٽن بابت معلومات گڏ ڪئي وئي آهي). ڊيٽا cascading استعمال ڪندي پيڪيج ٿيل آهي , هڪ امڪاني ڍانچي جيڪا اجازت ڏئي ٿي هڪ گم ٿيل عنصر جي غلط سڃاڻپ جي، پر هڪ موجود عنصر جي خارج ٿيڻ کي خارج ڪري ٿي (يعني، هڪ خاص امڪان سان، صحيح سرٽيفڪيٽ لاءِ غلط مثبت ممڪن آهي، پر رد ٿيل سرٽيفڪيٽن جي سڃاڻپ ٿيڻ جي ضمانت آهي).
غلط مثبت کي ختم ڪرڻ لاء، CRLite متعارف ڪرايو آهي اضافي اصلاحي فلٽر سطح. ڍانچي کي ٺاھڻ کان پوءِ، سڀ ماخذ رڪارڊ ڳولھيا ويندا آھن ۽ ڪنھن به غلط مثبت جي نشاندهي ڪئي ويندي آھي. ھن چڪاس جي نتيجن جي بنياد تي، ھڪڙو اضافي ڍانچو ٺاھيو ويو آھي، جيڪو پھرين ھڪڙي تي پکڙيل آھي ۽ نتيجو غلط مثبت کي درست ڪري ٿو. آپريشن کي بار بار ڪيو ويندو آهي جيستائين ڪنٽرول چيڪ دوران غلط مثبت مڪمل طور تي ختم ٿي وڃن. عام طور تي، 7-10 پرت ٺاهڻ ڪافي آهي مڪمل طور تي سڀني ڊيٽا کي ڍڪڻ لاء. ڊيٽابيس جي حالت کان وٺي، وقتي طور تي هم وقت سازي جي ڪري، CRL جي موجوده حالت کان ٿورو پوئتي رهجي وڃي ٿي، CRLite ڊيٽابيس جي آخري تازه ڪاري کان پوءِ جاري ڪيل نون سرٽيفڪيٽن جي چڪاس OCSP پروٽوڪول کي استعمال ڪندي، بشمول (هڪ OCSP جواب هڪ سرٽيفڪيشن اٿارٽي پاران تصديق ٿيل سرور طرفان منتقل ڪيو ويندو آهي سائيٽ جي خدمت ڪندي جڏهن TLS ڪنيڪشن تي ڳالهه ٻولهه ڪندي).
بلوم فلٽر استعمال ڪندي، WebPKI کان معلومات جو ڊسمبر سليس، 100 ملين فعال سرٽيفڪيٽن ۽ 750 هزار رد ٿيل سرٽيفڪيٽن کي ڍڪي، 1.3 MB سائيز جي ڍانچي ۾ پيڪ ڪرڻ جي قابل ٿي ويو. ڍانچي جي پيداوار جو عمل ڪافي وسيلا-گھڻي آھي، پر اھو Mozilla سرور تي ڪيو ويندو آھي ۽ صارف کي ھڪ تيار ٿيل تازه ڪاري ڏني ويندي آھي. مثال طور، بائنري فارم ۾، جنريشن دوران استعمال ٿيل ماخذ ڊيٽا لاءِ تقريباً 16 GB ميموري جي ضرورت آهي جڏهن Redis DBMS ۾ ذخيرو ٿيل آهي، ۽ هيڪساڊيڪل فارم ۾، سڀني سرٽيفڪيٽ سيريل نمبرن جو ڊمپ لڳ ڀڳ 6.7 GB وٺندو آهي. سڀني رد ٿيل ۽ فعال سرٽيفڪيٽن کي گڏ ڪرڻ جي عمل ۾ لڳ ڀڳ 40 منٽ لڳن ٿا، ۽ بلوم فلٽر جي بنياد تي پيڪيج ٿيل ڍانچي ٺاهڻ جي عمل ۾ وڌيڪ 20 منٽ لڳن ٿا.
Mozilla في الحال انهي ڳالهه کي يقيني بڻائي ٿو ته CRLite ڊيٽابيس کي ڏينهن ۾ چار ڀيرا اپڊيٽ ڪيو ويندو آهي (سڀني تازه ڪاريون ڪلائنٽ تائين نه پهچنديون آهن). ڊيلٽا اپڊيٽس جي نسل اڃا تائين لاڳو نه ڪئي وئي آهي - bsdiff4 جو استعمال، رليز لاءِ ڊيلٽا اپڊيٽ ٺاهڻ لاءِ استعمال ڪيو ويو، CRLite لاءِ مناسب ڪارڪردگي مهيا نٿو ڪري ۽ تازه ڪاريون غير معقول حد تائين وڏيون آهن. ان خرابيءَ کي ختم ڪرڻ لاءِ، اسٽوريج جي ڍانچي جي شڪل کي ٻيهر ڪم ڪرڻ جي رٿابندي ڪئي وئي آهي ته جيئن پرت جي غير ضروري تعمير ۽ ختم ٿيڻ کي ختم ڪيو وڃي.
CRLite في الحال فائر فاکس ۾ غير فعال موڊ ۾ ڪم ڪري ٿو ۽ صحيح آپريشن بابت انگ اکر گڏ ڪرڻ لاءِ OCSP سان متوازي طور استعمال ڪيو ويندو آهي. CRLite کي مين اسڪين موڊ ۾ تبديل ڪري سگھجي ٿو؛ ھن کي ڪرڻ لاءِ، توھان کي سيٽ ڪرڻ جي ضرورت آھي پيراميٽر security.pki.crlite_mode = 2 in about:config.
جو ذريعو: opennet.ru