Kompania Mozilla
Verifikimi i certifikatës duke përdorur shërbime të jashtme bazuar në protokollin që përdoret ende
Për të bllokuar certifikatat që janë komprometuar dhe revokuar nga autoritetet e certifikimit, Firefox ka përdorur një listë të zezë të centralizuar që nga viti 2015
Si parazgjedhje, nëse është e pamundur të verifikohet nëpërmjet OCSP, shfletuesi e konsideron certifikatën të vlefshme. Shërbimi mund të jetë i padisponueshëm për shkak të problemeve të rrjetit dhe kufizimeve në rrjetet e brendshme, ose i bllokuar nga sulmuesit - për të anashkaluar kontrollin OCSP gjatë një sulmi MITM, thjesht bllokoni hyrjen në shërbimin e kontrollit. Pjesërisht për të parandaluar sulme të tilla, është zbatuar një teknikë
CRLite ju lejon të konsolidoni informacionin e plotë për të gjitha certifikatat e revokuara në një strukturë lehtësisht të përditësuar, me madhësi vetëm 1 MB, e cila bën të mundur ruajtjen e një baze të dhënash të plotë CRL në anën e klientit.
Shfletuesi do të jetë në gjendje të sinkronizojë çdo ditë kopjen e tij të të dhënave për certifikatat e revokuara dhe kjo bazë të dhënash do të jetë e disponueshme në çdo kusht.
CRLite kombinon informacionin nga
Për të eliminuar pozitivët e rremë, CRLite ka prezantuar nivele shtesë korrigjuese të filtrit. Pas gjenerimit të strukturës, të gjitha të dhënat e burimit kërkohen dhe identifikohen çdo rezultat fals. Bazuar në rezultatet e këtij kontrolli, krijohet një strukturë shtesë, e cila kaskadohet në të parën dhe korrigjon rezultatet false që rezultojnë. Operacioni përsëritet derisa të eliminohen plotësisht rezultatet false gjatë kontrollit të kontrollit. Në mënyrë tipike, krijimi i 7-10 shtresave është i mjaftueshëm për të mbuluar plotësisht të gjitha të dhënat. Meqenëse gjendja e bazës së të dhënave, për shkak të sinkronizimit periodik, mbetet pak prapa gjendjes aktuale të CRL, kontrollimi i certifikatave të reja të lëshuara pas përditësimit të fundit të bazës së të dhënave CRLite kryhet duke përdorur protokollin OCSP, duke përfshirë përdorimin e
Duke përdorur filtrat Bloom, pjesa e dhjetorit e informacionit nga WebPKI, që mbulon 100 milionë certifikata aktive dhe 750 mijë çertifikata të revokuara, mundi të paketohej në një strukturë prej 1.3 MB në madhësi. Procesi i krijimit të strukturës është mjaft intensiv me burime, por kryhet në serverin Mozilla dhe përdoruesit i jepet një përditësim i gatshëm. Për shembull, në formë binare, të dhënat e burimit të përdorura gjatë gjenerimit kërkojnë rreth 16 GB memorie kur ruhen në Redis DBMS, dhe në formë heksadecimal, një grumbullim i të gjithë numrave serial të certifikatave merr rreth 6.7 GB. Procesi i grumbullimit të të gjitha certifikatave të revokuara dhe aktive zgjat rreth 40 minuta dhe procesi i gjenerimit të një strukture të paketuar bazuar në filtrin Bloom zgjat 20 minuta të tjera.
Mozilla aktualisht siguron që baza e të dhënave CRLite të përditësohet katër herë në ditë (jo të gjitha përditësimet u dërgohen klientëve). Gjenerimi i përditësimeve delta nuk është zbatuar ende - përdorimi i bsdiff4, i përdorur për të krijuar përditësime delta për lëshimet, nuk siguron efikasitet adekuat për CRLite dhe përditësimet janë jashtëzakonisht të mëdha. Për të eliminuar këtë pengesë, është planifikuar të ripunohet formati i strukturës së ruajtjes për të eliminuar rindërtimin dhe fshirjen e panevojshme të shtresave.
CRLite aktualisht punon në Firefox në modalitetin pasiv dhe përdoret paralelisht me OCSP për të grumbulluar statistika rreth funksionimit të saktë. CRLite mund të kalohet në modalitetin kryesor të skanimit; për ta bërë këtë, duhet të vendosni parametrin security.pki.crlite_mode = 2 në about:config.
Burimi: opennet.ru