Perusahaan Mozilla ngeunaan mimiti tés dina ngawangun wengi Firefox mékanisme anyar pikeun ngadeteksi sertipikat anu dicabut - . CRLite ngamungkinkeun anjeun ngatur pamariksaan panyabutan sertipikat anu efektif ngalawan pangkalan data anu aya dina sistem pangguna. palaksanaan CRLite Mozilla urang handapeun bebas lisénsi MPL 2.0. Kodeu pikeun ngahasilkeun database sareng komponén server ditulis dina jeung Go. Bagian klien ditambahkeun kana Firefox pikeun maca data tina database dina basa Rust.
Verifikasi sertipikat nganggo jasa éksternal dumasar kana protokol anu masih dianggo (Protokol Status Sertipikat Online) ngabutuhkeun aksés jaringan anu dijamin, nyababkeun tunda anu signifikan dina pamrosésan pamundut (rata-rata 350ms) sareng gaduh masalah sareng mastikeun karusiahan (server OCSP ngaréspon kana pamundut nampi inpormasi ngeunaan sertipikat khusus, anu tiasa dianggo pikeun nangtoskeun naon situs anu dibuka ku pangguna). Aya ogé kamungkinan pamariksaan lokal ngalawan daptar (Daptar Panyabutan Sertipikat), tapi disadvantage sahiji metodeu ieu ukuran kacida gedéna tina data diundeur - ayeuna database of sertipikat dicabut ngawengku ngeunaan 300 MB jeung tumuwuhna terus.
Pikeun meungpeuk sertipikat anu parantos dikompromi sareng dicabut ku otoritas sertifikasi, Firefox parantos ngagunakeun daptar hideung terpusat ti saprak 2015. dina kombinasi kalayan panggero pikeun layanan pikeun ngaidentipikasi kamungkinan kagiatan jahat. OneCRL, kawas dina Chrome, tindakan minangka hiji link panengah nu aggregates béréndélan CRL ti otoritas sertifikasi jeung nyadiakeun layanan OCSP terpusat tunggal pikeun dipariksa sertipikat dicabut, sahingga mungkin teu ngirim requests langsung ka otoritas sertifikasi. Sanaos seueur padamelan pikeun ningkatkeun réliabilitas jasa verifikasi sertipikat online, data telemétri nunjukkeun yén langkung ti 7% OCSP menta waktos kaluar (sababaraha taun ka pengker angka ieu 15%).
Sacara standar, upami teu mungkin pikeun pariksa via OCSP, browser nganggap sertipikat sah. Ladenan éta tiasa henteu sayogi kusabab masalah jaringan sareng larangan dina jaringan internal, atanapi diblokir ku panyerang - pikeun ngaliwat pamariksaan OCSP nalika serangan MITM, kantun blokir aksés kana jasa cek. Sawaréh pikeun nyegah serangan sapertos kitu, téknik parantos dilaksanakeun , nu ngidinan Anjeun pikeun ngubaran kasalahan aksés OCSP atanapi unavailability OCSP salaku masalah jeung sertipikat, tapi fitur ieu pilihan sarta merlukeun pendaptaran husus tina sertipikat.
CRLite ngidinan Anjeun pikeun ngumpulkeun informasi lengkep ngeunaan sagala sertipikat dicabut kana struktur gampang diropéa, ngan 1 MB dina ukuran, nu ngamungkinkeun pikeun nyimpen database CRL lengkep di sisi klien.
Browser bakal tiasa nyinkronkeun salinan data ngeunaan sertipikat anu dicabut unggal dinten, sareng pangkalan data ieu bakal sayogi dina kaayaan naon waé.
CRLite ngagabungkeun informasi tina , log umum sadaya sertipikat anu dikaluarkeun sareng dicabut, sareng hasil scanning sertipikat dina Internét (rupa-rupa daptar CRL otoritas sertifikasi dikumpulkeun sareng inpormasi ngeunaan sadaya sertipikat anu dipikanyaho dihijikeun). Data dibungkus nganggo cascading , Struktur probabilistik anu ngamungkinkeun hiji deteksi palsu unsur leungit, tapi teu kaasup omission sahiji unsur aya (ie, kalawan probabiliti tangtu, positif palsu pikeun sertipikat bener mungkin, tapi sertipikat dicabut dijamin bakal dicirikeun).
Pikeun ngaleungitkeun positip palsu, CRLite parantos ngenalkeun tingkat saringan koréksi tambahan. Saatos ngahasilkeun struktur, sadaya rékaman sumber dipilarian sareng positip palsu anu diidentifikasi. Dumasar hasil pamariksaan ieu, struktur tambahan didamel, anu kaskade kana anu munggaran sareng ngabenerkeun positip palsu anu hasilna. Operasi diulang dugi positip palsu salami pamariksaan kontrol lengkep ngaleungitkeun. Ilaharna, nyieun 7-10 lapisan cukup pikeun sakabéhna nutupan sakabéh data. Kusabab kaayaan pangkalan data, kusabab sinkronisasi périodik, rada katinggaleun kaayaan CRL ayeuna, mariksa sertipikat anyar anu dikaluarkeun saatos pembaruan terakhir tina pangkalan data CRLite dilaksanakeun nganggo protokol OCSP, kalebet ngagunakeun (réspon OCSP anu disertipikasi ku otoritas sertifikasi dikirimkeun ku server anu ngaladénan situs nalika negotiating sambungan TLS).
Ngagunakeun saringan Bloom, keureutan Désémber inpormasi ti WebPKI, ngawengku 100 juta sertipikat aktip sarta 750 sarébu sertipikat dicabut, éta bisa dipak kana struktur 1.3 MB dina ukuran. Prosés generasi struktur cukup sumberdaya-intensif, tapi dipigawé dina server Mozilla jeung pamaké dibere update siap-dijieun. Contona, dina formulir binér, data sumber dipaké salila generasi merlukeun ngeunaan 16 GB memori nalika disimpen dina Redis DBMS, sarta dina bentuk héksadesimal, a dump sadaya nomer serial sertipikat nyokot ngeunaan 6.7 GB. Prosés ngahijikeun sadaya sertipikat anu dicabut sareng aktip nyandak sakitar 40 menit, sareng prosés ngahasilkeun struktur rangkep dumasar kana saringan Bloom butuh 20 menit deui.
Mozilla ayeuna mastikeun yén database CRLite diropéa opat kali sadinten (henteu sadayana apdet dikirimkeun ka klien). Generasi apdet délta teu acan dilaksanakeun - pamakéan bsdiff4, dipaké pikeun nyieun apdet délta pikeun Kaluaran, teu nyadiakeun efisiensi nyukupan pikeun CRLite sarta apdet anu unreasonably badag. Pikeun ngaleungitkeun aral ieu, rencanana pikeun ngerjakeun deui format struktur gudang pikeun ngaleungitkeun rebuilding anu teu perlu sareng ngahapus lapisan.
CRLite ayeuna jalan di Firefox dina modeu pasip tur dipaké dina paralel jeung OCSP pikeun ngumpulkeun statistik ngeunaan operasi bener. CRLite tiasa dialihkeun kana modeu scan utama; pikeun ngalakukeun ieu, anjeun kedah nyetél parameter security.pki.crlite_mode = 2 dina ngeunaan: config.
sumber: opennet.ru