Kampuni ya Mozilla kuhusu kuanza kwa majaribio katika ujenzi wa usiku wa Firefox utaratibu mpya wa kugundua vyeti vilivyobatilishwa - . CRLite hukuruhusu kupanga ukaguzi bora wa kubatilisha cheti dhidi ya hifadhidata iliyopangishwa kwenye mfumo wa mtumiaji. Utekelezaji wa CRLite wa Mozilla chini ya leseni ya bure ya MPL 2.0. Nambari ya kutengeneza hifadhidata na vipengee vya seva imeandikwa na Kwenda. Sehemu za mteja zimeongezwa kwa Firefox kwa kusoma data kutoka kwa hifadhidata kwa lugha ya Rust.
Uthibitishaji wa cheti kwa kutumia huduma za nje kulingana na itifaki ambayo bado inatumika (Itifaki ya Hali ya Cheti cha Mtandaoni) inahitaji ufikiaji wa mtandao uliohakikishwa, husababisha kucheleweshwa kwa uchakataji wa ombi (milimita 350 kwa wastani) na ina matatizo katika kuhakikisha usiri (seva za OCSP zinazojibu maombi hupokea taarifa kuhusu vyeti mahususi, ambavyo vinaweza kutumika kutathmini iwapo tovuti ambazo mtumiaji hufungua). Pia kuna uwezekano wa kuangalia ndani dhidi ya orodha (Orodha ya Ubatilishaji Cheti), lakini hasara ya njia hii ni saizi kubwa sana ya data iliyopakuliwa - kwa sasa hifadhidata ya vyeti vilivyofutwa inachukua takriban 300 MB na ukuaji wake unaendelea.
Ili kuzuia vyeti ambavyo vimehujumiwa na kubatilishwa na mamlaka ya uidhinishaji, Firefox imetumia orodha kuu isiyoidhinishwa tangu 2015. pamoja na wito wa huduma kutambua shughuli mbaya zinazowezekana. OneCRL, kama katika Chrome, hufanya kazi kama kiungo cha kati ambacho hujumlisha orodha za CRL kutoka kwa mamlaka ya uidhinishaji na hutoa huduma moja ya OCSP ya kati kwa kuangalia vyeti vilivyobatilishwa, na kufanya iwezekane kutotuma maombi moja kwa moja kwa mamlaka ya uthibitishaji. Licha ya kazi kubwa ya kuboresha uaminifu wa huduma ya uthibitishaji wa cheti mtandaoni, data ya telemetry inaonyesha kuwa zaidi ya 7% ya maombi ya OCSP yameisha (miaka michache iliyopita takwimu hii ilikuwa 15%).
Kwa chaguo-msingi, ikiwa haiwezekani kuthibitisha kupitia OCSP, kivinjari kinazingatia cheti kuwa halali. Huduma inaweza kuwa haipatikani kwa sababu ya shida za mtandao na vizuizi kwenye mitandao ya ndani, au kuzuiwa na washambuliaji - kupitisha ukaguzi wa OCSP wakati wa shambulio la MITM, kuzuia ufikiaji wa huduma ya ukaguzi. Kwa sehemu ili kuzuia mashambulizi hayo, mbinu imetekelezwa , ambayo hukuruhusu kushughulikia hitilafu ya ufikiaji wa OCSP au kutopatikana kwa OCSP kama tatizo la cheti, lakini kipengele hiki ni cha hiari na kinahitaji usajili maalum wa cheti.
CRLite hukuruhusu kujumuisha taarifa kamili kuhusu vyeti vyote vilivyobatilishwa katika muundo uliosasishwa kwa urahisi, ukubwa wa MB 1 pekee, unaowezesha kuhifadhi hifadhidata kamili ya CRL kwenye upande wa mteja.
Kivinjari kitaweza kusawazisha nakala yake ya data kuhusu vyeti vilivyobatilishwa kila siku, na hifadhidata hii itapatikana kwa hali yoyote.
CRLite inachanganya taarifa kutoka , kumbukumbu ya umma ya vyeti vyote vilivyotolewa na kubatilishwa, na matokeo ya cheti cha kuchanganua kwenye Mtandao (orodha mbalimbali za CRL za mamlaka ya uthibitishaji hukusanywa na taarifa kuhusu vyeti vyote vinavyojulikana hujumlishwa). Data imewekwa kwa kutumia cascading , muundo wa uwezekano unaoruhusu ugunduzi wa uwongo wa kipengele kinachokosekana, lakini haujumuishi kuachwa kwa kipengele kilichopo (yaani, kwa uwezekano fulani, chanya ya uwongo ya cheti sahihi inawezekana, lakini vyeti vilivyobatilishwa vimehakikishwa kutambuliwa).
Ili kuondoa chanya za uwongo, CRLite imeanzisha viwango vya ziada vya kurekebisha kichujio. Baada ya kutengeneza muundo, rekodi zote za chanzo hutafutwa na chanya zozote za uwongo zinatambuliwa. Kulingana na matokeo ya hundi hii, muundo wa ziada huundwa, ambao hupigwa kwenye wa kwanza na kurekebisha matokeo ya uongo. Operesheni hiyo inarudiwa hadi chanya za uwongo wakati wa ukaguzi wa udhibiti zimeondolewa kabisa. Kwa kawaida, kuunda tabaka 7-10 ni vya kutosha kufunika kabisa data zote. Kwa kuwa hali ya hifadhidata, kwa sababu ya maingiliano ya mara kwa mara, iko nyuma kidogo ya hali ya sasa ya CRL, ukaguzi wa vyeti vipya vilivyotolewa baada ya sasisho la mwisho la hifadhidata ya CRLite hufanywa kwa kutumia itifaki ya OCSP, pamoja na kutumia (jibu la OCSP lililoidhinishwa na mamlaka ya uthibitishaji hutumwa na seva inayohudumia tovuti wakati wa kujadili muunganisho wa TLS).
Kwa kutumia vichungi vya Bloom, sehemu ya Desemba ya maelezo kutoka kwa WebPKI, iliyofunika vyeti hai milioni 100 na vyeti elfu 750 vilivyobatilishwa, iliweza kupakiwa katika muundo wa ukubwa wa 1.3 MB. Mchakato wa kuunda muundo ni wa rasilimali nyingi, lakini unafanywa kwenye seva ya Mozilla na mtumiaji hupewa sasisho lililotengenezwa tayari. Kwa mfano, katika mfumo wa binary, data ya chanzo inayotumiwa wakati wa uzalishaji inahitaji kuhusu GB 16 ya kumbukumbu inapohifadhiwa katika Redis DBMS, na katika fomu ya hexadecimal, utupaji wa nambari zote za serial za cheti huchukua takriban 6.7 GB. Mchakato wa kujumlisha vyeti vyote vilivyobatilishwa na amilifu huchukua kama dakika 40, na mchakato wa kutengeneza muundo uliofungashwa kulingana na kichujio cha Bloom huchukua dakika 20 nyingine.
Mozilla kwa sasa inahakikisha kuwa hifadhidata ya CRLite inasasishwa mara nne kwa siku (si masasisho yote yanayoletwa kwa wateja). Uzalishaji wa masasisho ya delta bado haujatekelezwa - matumizi ya bsdiff4, inayotumiwa kuunda sasisho za delta kwa matoleo, haitoi ufanisi wa kutosha kwa CRLite na masasisho ni makubwa mno. Ili kuondokana na upungufu huu, imepangwa kurekebisha muundo wa muundo wa kuhifadhi ili kuondokana na ujenzi usiohitajika na kufuta tabaka.
CRLite kwa sasa inafanya kazi katika Firefox katika hali ya passiv na inatumika sambamba na OCSP kukusanya takwimu kuhusu utendakazi sahihi. CRLite inaweza kubadilishwa hadi modi kuu ya skanisho, ili kufanya hivi, unahitaji kuweka kigezo security.pki.crlite_mode = 2 in about:config.
Chanzo: opennet.ru