Kompania Mozilla rreth fillimit tĂ« testimit tĂ« njĂ« mekanizmi tĂ« ri pĂ«r zbulimin e certifikatave tĂ« revokuara nĂ« versionet e Firefox-it çdo natĂ« â CRLite mundĂ«son kontroll efikas tĂ« revokimit tĂ« certifikatave kundrejt njĂ« baze tĂ« dhĂ«nash tĂ« vendosur nĂ« sistemin e pĂ«rdoruesit. Implementimi i CRLite po zhvillohet nĂ« Mozilla. sipas licencĂ«s falas MPL 2.0. Kodi pĂ«r gjenerimin e bazĂ«s sĂ« tĂ« dhĂ«nave dhe komponentĂ«t e serverit janĂ« shkruar nĂ« dhe Go. KomponentĂ« nga ana e klientit pĂ«r leximin e tĂ« dhĂ«nave nga baza e tĂ« dhĂ«nave u shtuan nĂ« Firefox. nĂ« gjuhĂ«n Rust.
Verifikimi i certifikatave, i cili është ende në përdorim sot, përfshin shërbime të jashtme bazuar në protokoll. (Protokolli i Statusit të Certifikatës Online) kërkon akses të garantuar në rrjet, sjell një vonesë të konsiderueshme në përpunimin e kërkesave (mesatarisht 350 ms) dhe ka probleme me privatësinë (serverët OCSP që përgjigjen marrin informacion në lidhje me certifikata specifike, të cilat mund të përdoren për të përcaktuar se cilat faqe interneti po viziton përdoruesi). Kontrollet lokale kundrejt listave janë gjithashtu të disponueshme. (Lista e Revokimit të Certifikatave), por ana negative e kësaj metode është madhësia shumë e madhe e të dhënave të shkarkuara - aktualisht baza e të dhënave e certifikatave të revokuara zë rreth 300 MB dhe vazhdon të rritet.
Firefox ka përdorur një listë të zezë të centralizuar për të bllokuar certifikatat që janë kompromentuar ose revokuar nga autoritetet e certifikimit që nga viti 2015. në kombinim me një kërkesë drejtuar shërbimit për të identifikuar aktivitete të mundshme keqdashëse. OneCRL, si p.sh. Në Chrome, ai vepron si një ndërmjetës që grumbullon CRL-të nga CA-të dhe ofron një shërbim të vetëm dhe të centralizuar OCSP për kontrollimin e certifikatave të revokuara, duke eliminuar nevojën për të dërguar kërkesa direkt te CA-të. Pavarësisht punës së gjerë për të përmirësuar besueshmërinë e shërbimit të verifikimit të certifikatave online, të dhënat e telemetrisë tregojnë se mbi 7% e kërkesave OCSP skadojnë (disa vite më parë, kjo shifër ishte 15%).
Si parazgjedhje, nĂ«se verifikimi OCSP nuk Ă«shtĂ« i mundur, shfletuesi e konsideron certifikatĂ«n tĂ« vlefshme. ShĂ«rbimi mund tĂ« mos jetĂ« i disponueshĂ«m pĂ«r shkak tĂ« problemeve tĂ« rrjetit dhe kufizimeve tĂ« brendshme tĂ« rrjetit, ose mund tĂ« jetĂ« bllokuar nga sulmuesit. PĂ«r tĂ« anashkaluar verifikimin OCSP gjatĂ« njĂ« sulmi "njeriu nĂ« mes", mjafton thjesht bllokimi i aksesit nĂ« shĂ«rbimin e verifikimit. ĂshtĂ« zbatuar njĂ« teknikĂ« pĂ«r tĂ« parandaluar pjesĂ«risht sulme tĂ« tilla. , i cili lejon qĂ« njĂ« gabim kĂ«rkese OCSP ose padisponueshmĂ«ri e OCSP tĂ« interpretohet si njĂ« problem me certifikatĂ«n, por kjo veçori Ă«shtĂ« opsionale dhe kĂ«rkon dizajn tĂ« veçantĂ« tĂ« certifikatĂ«s.
CRLite ju lejon të konsolidoni informacionin e plotë në lidhje me të gjitha certifikatat e revokuara në një strukturë lehtësisht të përditësueshme, vetëm 1 MB në madhësi, duke ju lejuar të ruani të gjithë bazën e të dhënave CRL në anën e klientit.
Shfletuesi do të jetë në gjendje të sinkronizojë kopjen e të dhënave në certifikatat e revokuara çdo ditë, dhe kjo bazë të dhënash do të jetë e disponueshme në çdo kusht.
CRLite kombinon informacionin nga , një regjistër publik i të gjitha certifikatave të lëshuara dhe të revokuara, dhe rezultatet e skanimit të certifikatave në internet (mbledhen lista të ndryshme CRL të autoriteteve të certifikimit dhe informacioni mbi të gjitha certifikatat e njohura është i përmbledhur). Të dhënat paketohen duke përdorur metodën kaskaduese. , një strukturë probabilistike që lejon një zbulim pozitiv të rremë të një elementi që mungon, por përjashton mungesën e një elementi ekzistues (domethënë, me një probabilitet të caktuar, një pozitiv i rremë për një certifikatë të vlefshme është i mundur, por certifikatat e revokuara garantohet se do të zbulohen).
Për të eliminuar pozitivët e rremë, CRLite ka futur shtresa shtesë korrigjimi të filtrit. Pasi të gjenerohet struktura, të gjitha të dhënat burimore përsëriten dhe identifikohen çdo pozitiv i rremë. Bazuar në rezultatet e këtij kontrolli, krijohet një strukturë shtesë, duke u ngjitur në të parën dhe duke korrigjuar çdo pozitiv të rremë që ka ndodhur. Ky operacion përsëritet derisa pozitivët e rremë gjatë kontrollit të eliminohen plotësisht. Zakonisht, krijimi i 7-10 shtresave është i mjaftueshëm për të mbuluar plotësisht të gjitha të dhënat. Meqenëse gjendja e bazës së të dhënave mbetet pak prapa gjendjes aktuale të CRL për shkak të sinkronizimit periodik, verifikimi i certifikatave të reja të lëshuara që nga përditësimi i fundit i bazës së të dhënave CRLite kryhet duke përdorur protokollin OCSP, duke përfshirë përdorimin e teknikës (përgjigja OCSP e certifikuar nga autoriteti i certifikimit transmetohet nga serveri që shërben sitin kur negocion një lidhje TLS).
Duke përdorur filtrat Bloom, fotografia e të dhënave WebPKI të dhjetorit, që mbulon 100 milionë certifikata aktive dhe 750 certifikata të revokuara, u kompresua në një strukturë prej 1.3 MB. Procesi i gjenerimit të strukturës kërkon mjaft shumë burime, por funksionon në një server Mozilla dhe përdoruesi merr një përditësim të gatshëm. Për shembull, të dhënat binare të përdorura për gjenerim kërkojnë afërsisht 16 GB memorie kur ruhen në DBMS Redis, ndërsa grumbullimi heksadecimal i të gjithë numrave serialë të certifikatave zgjat afërsisht 6.7 GB. Procesi i grumbullimit të të gjitha certifikatave të revokuara dhe aktive zgjat afërsisht 40 minuta, dhe gjenerimi i strukturës së kompresuar duke përdorur një filtër Bloom kërkon 20 minuta shtesë.
Mozilla aktualisht pĂ«rditĂ«son bazĂ«n e tĂ« dhĂ«nave CRLite katĂ«r herĂ« nĂ« ditĂ« (jo tĂ« gjitha pĂ«rditĂ«simet u dorĂ«zohen klientĂ«ve). Gjenerimi i pĂ«rditĂ«simeve Delta nuk Ă«shtĂ« zbatuar endeâbsdiff4 i pĂ«rdorur pĂ«r tĂ« krijuar pĂ«rditĂ«sime tĂ« versioneve delta nuk ofron performancĂ«n e nevojshme pĂ«r CRLite, duke rezultuar nĂ« pĂ«rditĂ«sime tĂ« panevojshme tĂ« mĂ«dha. PĂ«r tĂ« adresuar kĂ«tĂ« mangĂ«si, janĂ« duke u zhvilluar plane pĂ«r tĂ« ripĂ«rpunuar formatin e strukturĂ«s sĂ« ruajtjes pĂ«r tĂ« eliminuar rindĂ«rtimin dhe heqjen e shtresave tĂ« panevojshme.
CRLite aktualisht funksionon në modalitetin pasiv në Firefox dhe përdoret paralelisht me OCSP për të mbledhur statistika mbi funksionimin e tij të saktë. CRLite mund të kalohet në modalitetin parësor të verifikimit duke vendosur parametrin security.pki.crlite_mode në 2 në about:config.
Burimi: opennet.ru
