Shirkadda Mozilla ku saabsan bilawga tijaabinta dhismayaasha habeenkii ee Firefox hannaan cusub oo lagu ogaanayo shahaadooyinka la buriyay - . CRLite waxay kuu ogolaanaysaa inaad abaabusho hubinta ka noqoshada shahaado bixinta wax ku ool ah ee ka dhanka ah xogta lagu hayo nidaamka isticmaalaha. Hirgelinta CRLite ee Mozilla hoos yimaada shatiga bilaashka ah ee MPL 2.0. Koodhka soo saarida kaydka xogta iyo qaybaha adeegaha ayaa lagu qoray iyo Tag. Qaybaha macmiilka ee lagu daray Firefox si ay u akhriyaan xogta kaydka luqadda Rust.
Xaqiijinta shahaadada iyadoo la adeegsanayo adeegyada dibadda ee ku saleysan borotokoolka wali la isticmaalo (Brotokoolka Heerka Shahaadada Onlaynka ah) wuxuu u baahan yahay gelitaanka shabakad dammaanad qaaday, waxay keenaysaa dib u dhac weyn oo ku yimaada habaynta codsiga (celcelis ahaan 350ms) waxayna dhibaato ka haysataa xaqiijinta sirta goobaha uu isticmaaluhu furo). Waxa kale oo jirta suurtogalnimada in deegaanka laga eego liisaska (Liiska Dib-u-noqoshada Shahaadada), laakiin khasaaraha habkani waa cabbirka aadka u weyn ee xogta la soo dejiyey - hadda kaydinta shahaadooyinka la buriyay waxay ku dhowdahay 300 MB oo korniinkeeduna wuu sii socdaa.
Si loo joojiyo shahaadooyinka la jabiyay oo lagala noqday mas'uuliyiinta shahaadooyinka, Firefox waxay isticmaashay liiska madow ilaa 2015 marka lagu daro wac adeeg si loo aqoonsado dhaqdhaqaaqa xaasidnimo ee suurtogalka ah. OneCRL, sida gudaha Chrome, waxa uu u shaqeeyaa sidii isku xidhka dhexe ee soo ururiya liisaska CRL ee maamulka shahaado bixinta oo bixiya hal adeeg oo OCSP ah oo lagu hubinayo shahaadooyinka la buriyay, taas oo suurtogal ka dhigaysa in aan si toos ah codsiyada loogu soo dirin masuuliyiinta shahaadooyinka. In kasta oo ay jiraan shaqo badan oo lagu hagaajinayo isku halaynta adeegga xaqiijinta shahaadadda khadka tooska ah, xogta telemetry waxay muujinaysaa in in ka badan 7% ee OCSP ay codsatay wakhti go'an (dhowr sano ka hor tiradani waxay ahayd 15%).
Sida caadiga ah, haddii aysan suurtagal ahayn in lagu xaqiijiyo OCSP, barowsarku wuxuu u qaddariyaa shahaado mid sax ah. Adeegga waxaa laga yaabaa inaan la heli karin sababo la xiriira dhibaatooyinka shabakadda iyo xannibaadaha shabakadaha gudaha, ama xannibay weeraryahannada - si looga gudbo jeegga OCSP inta lagu jiro weerarka MITM, si fudud u xannibi gelitaanka adeegga hubinta. Qayb ahaan si looga hortago weerarradan oo kale, farsamo ayaa la hirgeliyay , Kaas oo kuu ogolaanaya inaad ula dhaqanto cilada gelitaanka OCSP ama la'aanta OCSP dhib ku ah shahaadada, laakiin sifadani waa ikhtiyaari waxayna u baahan tahay diiwaangelin gaar ah oo shahaadada.
CRLite waxay kuu ogolaanaysaa inaad ku ururiso macluumaadka dhamaystiran ee ku saabsan dhammaan shahaadooyinka la buriyay qaab-dhismeed fudud oo la cusboonaysiiyay, kaliya 1 MB oo cabbir ah, taas oo suurtogal ka dhigaysa in lagu kaydiyo xogta CRL oo dhammaystiran dhinaca macmiilka.
Barowsarku waxa uu awood u yeelan doonaa in uu isku xidho nuqulkiisa xogta ku saabsan shahaadooyinka la buriyay maalin kasta, xogtan xog-ururinta waxa lagu heli doonaa xaalad kasta.
CRLite waxay isku daraysaa macluumaadka , diiwaanka guud ee dhammaan shahaadooyinka la bixiyay iyo kuwa la buriyay, iyo natiijooyinka shahaadooyinka iskaanka ee internetka (liiska CRL ee hay'adaha shahaadooyinka ee kala duwan ayaa la ururiyaa iyo macluumaadka ku saabsan dhammaan shahaadooyinka la yaqaan waa la isku daray). Xogta waxaa lagu xiraa iyadoo la isticmaalayo cascading , qaab-dhismeedka suurtogalka ah oo u oggolaanaya in si khaldan loo ogaado walxaha maqan, laakiin ka saaraya ka-tegidda walxaha jira (tusaale ahaan, iyada oo suurtogal ah, caddayn been ah oo caddayn sax ah ayaa suurtagal ah, laakiin shahaadooyinka la buriyay ayaa la damaanad qaaday in la aqoonsado).
Si loo baabi'iyo waxyaallaha beenta ah, CRLite waxay soo bandhigtay heerar shaandheyn dheeri ah oo dheeri ah. Ka dib abuurista qaab-dhismeedka, dhammaan diiwaanada isha waa la baaraa oo wixii been ah ayaa la aqoonsaday. Iyadoo lagu salaynayo natiijada jeegaan, qaab dhismeed dheeri ah ayaa la abuuray, kaas oo lagu shubay kii hore oo saxaya natiijada beenta ah. Hawlgalka ayaa soo noqnoqda ilaa inta lagu jiro hubinta xakamaynta gebi ahaanba la tirtiro been-abuurka. Caadi ahaan, abuurista 7-10 lakab ayaa ku filan in si buuxda loo daboolo dhammaan xogta. Maaddaama xaaladda xog-ururinta, is-waafajinta xilliyeed awgeed, ay waxyar ka danbeyso xaaladda hadda jirta ee CRL, hubinta shahaadooyinka cusub ee la soo saaray ka dib casriyaynta ugu dambeysa ee xogta CRLite ayaa la fuliyaa iyadoo la adeegsanayo nidaamka OCSP, oo ay ku jirto adeegsiga (jawaab OCSP oo ay shahaado siisay hay'adda shahaado bixinta waxa gudbiya serferka u adeegaya goobta marka laga xaajoonayo xidhiidhka TLS).
Isticmaalka filtarrada Bloom, jeex xogta December ka WebPKI, daboolaya 100 milyan oo shahaado firfircoon iyo 750 kun oo shahaadooyin la laalay, waxaa awooday in lagu soo buuxiyey qaab dhismeedka 1.3 MB ee cabbirka. Habka abuurista qaab-dhismeedku waa mid kheyraad badan leh, laakiin waxaa lagu sameeyaa server-ka Mozilla, isticmaaluhuna waxaa la siinayaa casriyeyn diyaar ah. Tusaale ahaan, qaabka binary, xogta isha ee la isticmaalo inta lagu jiro jiilku waxay u baahan tahay ilaa 16 GB oo xusuusta ah marka lagu kaydiyo Redis DBMS, iyo qaabka hexadecimal, daadinta dhammaan lambarrada taxanaha shahaadada waxay qaadataa 6.7 GB. Habka isku dhafka dhammaan shahaadooyinka la buriyay iyo kuwa firfircoon waxay qaadanayaan ilaa 40 daqiiqo, habka soo saarista qaab baakadaysan oo ku salaysan shaandhada Bloom waxay qaadataa 20 daqiiqo oo kale.
Mozilla waxay hadda xaqiijisaa in xogta CRLite la cusboonaysiiyay afar jeer maalintii (wax cusub oo dhan lama gaarsiiyo macaamiisha). Soo saarista cusboonaysiinta delta wali lama hirgelin - adeegsiga bsdiff4, oo loo isticmaalo in lagu abuuro cusboonaysiinta delta siidaynta, kuma siiso hufnaan ku filan CRLite iyo cusboonaysiintu si macquul ah ayey u weyn yihiin. Si loo baabi'iyo cilladaan, waxaa la qorsheeyay in dib loo habeeyo qaabka qaabdhismeedka kaydinta si loo baabi'iyo dib-u-dhiska aan loo baahnayn iyo tirtirka lakabyada.
CRLite waxay hadda uga shaqeysaa Firefox qaab dadban waxaana si barbar socda OCSP loo adeegsadaa si loo ururiyo tirakoobyada ku saabsan hawlgalka saxda ah. CRLite waxa loo rogi karaa habka iskaanka guud, si tan loo sameeyo, waxaad u baahan tahay inaad dejiso xadka ammaanka.pki.crlite_mode = 2 in about:config.
Source: opennet.ru