Khampani ea Mozilla mabapi le qalo ea ho etsa liteko meahong ea bosiu ea Firefox mochini o mocha oa ho bona litifikeiti tse hlakotsoeng - . CRLite e u lumella ho hlophisa tlhahlobo e sebetsang ea ho hlakoloa ha setifikeiti khahlano le polokelong ea litaba e tsamaisoang ke sistimi ea mosebelisi. Ts'ebetsong ea CRLite ea Mozilla tlas'a laesense ea mahala ea MPL 2.0. Khoutu ea ho hlahisa database le likarolo tsa seva li ngotsoe ho le Go. Likarolo tsa bareki li kentsoe ho Firefox bakeng sa ho bala data ho tsoa polokelong ea litaba ka puo ya Rust.
Netefatso ea setifikeiti ho sebelisa lits'ebeletso tsa kantle ho latela melaoana e ntseng e sebelisoa (Online Certificate Status Protocol) e hloka phihlello ea marang-rang e netefalitsoeng, e lebisa ho tieho e kholo ts'ebetsong ea kopo (350ms ka karolelano) mme e na le mathata a ho netefatsa lekunutu (li-server tsa OCSP tse arabelang likopo li fumana leseli mabapi le litifikeiti tse itseng, tse ka sebelisoang ho ahlola hore na libaka tseo mosebedisi a di bulang). Hape ho na le monyetla oa ho hlahloba sebaka sa heno khahlano le manane (Lethathamo la ho Hlakola Setifikeiti), empa bofokoli ba mokhoa ona ke boholo bo boholo ba data e jarollotsoeng - hajoale polokelo ea litifikeiti tse hlakotsoeng e nka 300 MB mme kholo ea eona e ntse e tsoela pele.
Ho thibela litifikeiti tse sekiselitsoeng le tse hlakotsoeng ke balaoli ba setifikeiti, Firefox e sebelisitse lethathamo le bohareng ho tloha ka 2015. mmoho le pitso ya tshebeletso ho tsebahatsa ketso e mpe e ka etsahalang. OneCRL, joalo ka ho Chrome, e sebetsa joalo ka sehokelo sa mahareng se kopanyang manane a CRL ho tsoa ho balaoli ba setifikeiti mme e fana ka ts'ebeletso e le 'ngoe ea OCSP e bohareng bakeng sa ho lekola litifikeiti tse hlakotsoeng, e etsang hore ho khonehe ho se romelle likopo ka kotloloho ho balaoli ba setifikeiti. Leha ho na le mosebetsi o mongata oa ho ntlafatsa ts'epahalo ea ts'ebeletso ea netefatso ea setifikeiti sa inthaneteng, data ea telemetry e bonts'a hore ho feta 7% ea likopo tsa OCSP nako e felile (lilemong tse 'maloa tse fetileng palo ena e ne e le 15%).
Ka kamehla, haeba ho sa khonehe ho netefatsa ka OCSP, sebatli se nka setifikeiti se nepahetse. Tšebeletso e ka 'na ea se ke ea fumaneha ka lebaka la mathata a marang-rang le lithibelo ho marang-rang a ka hare, kapa ho thibeloa ke bahlaseli - ho feta cheke ea OCSP nakong ea tlhaselo ea MITM, ho thibela feela ho fumana tšebeletso ea ho hlahloba. Ka mokhoa o itseng ho thibela litlhaselo tse joalo, ho sebelisitsoe mokhoa , e u lumellang ho tšoara phoso ea phihlello ea OCSP kapa ho se fumanehe ha OCSP e le bothata ka setifikeiti, empa karolo ena ke ea boikhethelo 'me e hloka ngoliso e khethehileng ea setifikeiti.
CRLite e o lumella ho kopanya tlhahisoleseling e felletseng mabapi le litifikeiti tsohle tse hlakotsoeng hore e be sebopeho se ntlafalitsoeng habonolo, feela 1 MB ka boholo, e etsang hore ho khonehe ho boloka database e felletseng ea CRL lehlakoreng la bareki.
Sebatli se tla khona ho hokahanya khopi ea sona ea data mabapi le setifikeiti se hlakotsoeng letsatsi le letsatsi, 'me database ena e tla fumaneha tlasa maemo afe kapa afe.
CRLite e kopanya boitsebiso bo tsoang ho , tlaleho ea sechaba ea litifikeiti tsohle tse fanoeng le tse hlakotsoeng, le liphetho tsa setifikeiti sa ho hlahloba Marang-rang (mathathamo a fapaneng a CRL a balaoli ba setifikeiti aa bokelloa 'me tlhahisoleseling mabapi le litifikeiti tsohle tse tsebahalang lia kopanngoa). Lintlha li phuthetsoe ho sebelisoa cascading , moaho o ka etsahalang o lumellang ho lemoha ka phoso ntho e sieo, empa e sa akarelletse ho siuoa ha elemente e teng (ke hore, ka monyetla o itseng, ho ka etsahala hore ho na le phoso e fosahetseng bakeng sa setifikeiti se nepahetseng, empa litifikeiti tse hlakotsoeng li tiisitsoe hore li tla tsejoa).
Ho felisa li-positives tsa bohata, CRLite e hlahisitse maemo a mang a ho lokisa. Ka mor'a ho hlahisa sebopeho, litlaleho tsohle tsa mohloli li batlisisoa 'me lintlha leha e le life tsa bohata li tsejoa. Ho itšetlehile ka liphello tsa cheke ena, ho bōptjoa mohaho o eketsehileng, o fetisetsoang ho oa pele 'me o lokisa liphello tse fosahetseng tse hlahang. Ts'ebetso e phetoa ho fihlela lintlha tse fosahetseng nakong ea tlhahlobo ea taolo li felisoa ka ho feletseng. Ka tloaelo, ho theha likarolo tse 7-10 ho lekane ho koahela data eohle ka botlalo. Kaha boemo ba database, ka lebaka la khokahano ea nako le nako, bo salletse kamora boemo ba hajoale ba CRL, ho lekola litifikeiti tse ncha tse fanoeng kamora hore ntlafatso ea ho qetela ea database ea CRLite e etsoe ho sebelisoa protocol ea OCSP, ho kenyelletsa le ho sebelisa (karabo ea OCSP e netefalitsoeng ke bolaoli ba setifikeiti e fetisoa ke seva e sebeletsang sebaka sa Marang-rang ha ho buisanoa ka khokahanyo ea TLS).
U sebelisa li-filters tsa Bloom, sekhechana sa tlhahisoleseling se tsoang ho WebPKI ka December, se koahelang litifikeiti tse sebetsang tse limilione tse 100 le litifikeiti tse hlakotsoeng tse likete tse 750, se khonne ho kenngoa ka har'a sebopeho sa 1.3 MB ka boholo. Ts'ebetso ea ho hlahisa sebopeho e na le lisebelisoa tse ngata, empa e etsoa ho seva sa Mozilla mme mosebelisi o fuoa ntlafatso e seng e entsoe. Ka mohlala, ka mokhoa oa binary, boitsebiso ba mohloli o sebelisoang nakong ea moloko o hloka hoo e ka bang 16 GB ea memori ha e bolokoa ho Redis DBMS, 'me ka mokhoa oa hexadecimal, ho lahla linomoro tsa serial tsa setifikeiti ho nka hoo e ka bang 6.7 GB. Ts'ebetso ea ho kopanya litifikeiti tsohle tse hlakotsoeng le tse sebetsang li nka metsotso e ka bang 40, 'me ts'ebetso ea ho hlahisa sebopeho se pakiloeng se ipapisitseng le filthara ea Bloom e nka metsotso e meng e 20.
Mozilla hajoale e netefatsa hore database ea CRLite e nchafatsoa makhetlo a mane ka letsatsi (ha se lintlafatso tsohle tse romelloang ho bareki). Moloko oa lintlafatso tsa delta ha o e-so kengoe ts'ebetsong - ts'ebeliso ea bsdiff4, e sebelisetsoang ho theha lintlafatso tsa delta bakeng sa tokollo, ha e fane ka ts'ebetso e lekaneng bakeng sa CRLite mme lintlafatso li kholo ka mokhoa o sa utloahaleng. Ho felisa bothata bona, ho reriloe ho tsosolosa sebopeho sa mohaho oa polokelo ho felisa ho tsosolosoa ho sa hlokahaleng le ho tlosoa ha lihlopha.
Hona joale CRLite e sebetsa ho Firefox ka mokhoa oa ho etsa lintho 'me e sebelisoa hammoho le OCSP ho bokella lipalo-palo mabapi le ts'ebetso e nepahetseng. CRLIte e ka fetoleloa ho boemo bo ka sehloohong ba scan; ho etsa sena, o hloka ho seta parameter security.pki.crlite_mode = 2 in about:config.
Source: opennet.ru
