Perusahaan Mozilla
Verifikasi sertipikat nganggo jasa éksternal dumasar kana protokol anu masih dianggo
Pikeun meungpeuk sertipikat anu parantos dikompromi sareng dicabut ku otoritas sertifikasi, Firefox parantos ngagunakeun daptar hideung terpusat ti saprak 2015.
Sacara standar, upami teu mungkin pikeun pariksa via OCSP, browser nganggap sertipikat sah. Ladenan éta tiasa henteu sayogi kusabab masalah jaringan sareng larangan dina jaringan internal, atanapi diblokir ku panyerang - pikeun ngaliwat pamariksaan OCSP nalika serangan MITM, kantun blokir aksés kana jasa cek. Sawaréh pikeun nyegah serangan sapertos kitu, téknik parantos dilaksanakeun
CRLite ngidinan Anjeun pikeun ngumpulkeun informasi lengkep ngeunaan sagala sertipikat dicabut kana struktur gampang diropéa, ngan 1 MB dina ukuran, nu ngamungkinkeun pikeun nyimpen database CRL lengkep di sisi klien.
Browser bakal tiasa nyinkronkeun salinan data ngeunaan sertipikat anu dicabut unggal dinten, sareng pangkalan data ieu bakal sayogi dina kaayaan naon waé.
CRLite ngagabungkeun informasi tina
Pikeun ngaleungitkeun positip palsu, CRLite parantos ngenalkeun tingkat saringan koréksi tambahan. Saatos ngahasilkeun struktur, sadaya rékaman sumber dipilarian sareng positip palsu anu diidentifikasi. Dumasar hasil pamariksaan ieu, struktur tambahan didamel, anu kaskade kana anu munggaran sareng ngabenerkeun positip palsu anu hasilna. Operasi diulang dugi positip palsu salami pamariksaan kontrol lengkep ngaleungitkeun. Ilaharna, nyieun 7-10 lapisan cukup pikeun sakabéhna nutupan sakabéh data. Kusabab kaayaan pangkalan data, kusabab sinkronisasi périodik, rada katinggaleun kaayaan CRL ayeuna, mariksa sertipikat anyar anu dikaluarkeun saatos pembaruan terakhir tina pangkalan data CRLite dilaksanakeun nganggo protokol OCSP, kalebet ngagunakeun
Ngagunakeun saringan Bloom, keureutan Désémber inpormasi ti WebPKI, ngawengku 100 juta sertipikat aktip sarta 750 sarébu sertipikat dicabut, éta bisa dipak kana struktur 1.3 MB dina ukuran. Prosés generasi struktur cukup sumberdaya-intensif, tapi dipigawé dina server Mozilla jeung pamaké dibere update siap-dijieun. Contona, dina formulir binér, data sumber dipaké salila generasi merlukeun ngeunaan 16 GB memori nalika disimpen dina Redis DBMS, sarta dina bentuk héksadesimal, a dump sadaya nomer serial sertipikat nyokot ngeunaan 6.7 GB. Prosés ngahijikeun sadaya sertipikat anu dicabut sareng aktip nyandak sakitar 40 menit, sareng prosés ngahasilkeun struktur rangkep dumasar kana saringan Bloom butuh 20 menit deui.
Mozilla ayeuna mastikeun yén database CRLite diropéa opat kali sadinten (henteu sadayana apdet dikirimkeun ka klien). Generasi apdet délta teu acan dilaksanakeun - pamakéan bsdiff4, dipaké pikeun nyieun apdet délta pikeun Kaluaran, teu nyadiakeun efisiensi nyukupan pikeun CRLite sarta apdet anu unreasonably badag. Pikeun ngaleungitkeun aral ieu, rencanana pikeun ngerjakeun deui format struktur gudang pikeun ngaleungitkeun rebuilding anu teu perlu sareng ngahapus lapisan.
CRLite ayeuna jalan di Firefox dina modeu pasip tur dipaké dina paralel jeung OCSP pikeun ngumpulkeun statistik ngeunaan operasi bener. CRLite tiasa dialihkeun kana modeu scan utama; pikeun ngalakukeun ieu, anjeun kedah nyetél parameter security.pki.crlite_mode = 2 dina ngeunaan: config.
sumber: opennet.ru