Kampuni ya Mozilla
Uthibitishaji wa cheti kwa kutumia huduma za nje kulingana na itifaki ambayo bado inatumika
Ili kuzuia vyeti ambavyo vimehujumiwa na kubatilishwa na mamlaka ya uidhinishaji, Firefox imetumia orodha kuu isiyoidhinishwa tangu 2015.
Kwa chaguo-msingi, ikiwa haiwezekani kuthibitisha kupitia OCSP, kivinjari kinazingatia cheti kuwa halali. Huduma inaweza kuwa haipatikani kwa sababu ya shida za mtandao na vizuizi kwenye mitandao ya ndani, au kuzuiwa na washambuliaji - kupitisha ukaguzi wa OCSP wakati wa shambulio la MITM, kuzuia ufikiaji wa huduma ya ukaguzi. Kwa sehemu ili kuzuia mashambulizi hayo, mbinu imetekelezwa
CRLite hukuruhusu kujumuisha taarifa kamili kuhusu vyeti vyote vilivyobatilishwa katika muundo uliosasishwa kwa urahisi, ukubwa wa MB 1 pekee, unaowezesha kuhifadhi hifadhidata kamili ya CRL kwenye upande wa mteja.
Kivinjari kitaweza kusawazisha nakala yake ya data kuhusu vyeti vilivyobatilishwa kila siku, na hifadhidata hii itapatikana kwa hali yoyote.
CRLite inachanganya taarifa kutoka
Ili kuondoa chanya za uwongo, CRLite imeanzisha viwango vya ziada vya kurekebisha kichujio. Baada ya kutengeneza muundo, rekodi zote za chanzo hutafutwa na chanya zozote za uwongo zinatambuliwa. Kulingana na matokeo ya hundi hii, muundo wa ziada huundwa, ambao hupigwa kwenye wa kwanza na kurekebisha matokeo ya uongo. Operesheni hiyo inarudiwa hadi chanya za uwongo wakati wa ukaguzi wa udhibiti zimeondolewa kabisa. Kwa kawaida, kuunda tabaka 7-10 ni vya kutosha kufunika kabisa data zote. Kwa kuwa hali ya hifadhidata, kwa sababu ya maingiliano ya mara kwa mara, iko nyuma kidogo ya hali ya sasa ya CRL, ukaguzi wa vyeti vipya vilivyotolewa baada ya sasisho la mwisho la hifadhidata ya CRLite hufanywa kwa kutumia itifaki ya OCSP, pamoja na kutumia
Kwa kutumia vichungi vya Bloom, sehemu ya Desemba ya maelezo kutoka kwa WebPKI, iliyofunika vyeti hai milioni 100 na vyeti elfu 750 vilivyobatilishwa, iliweza kupakiwa katika muundo wa ukubwa wa 1.3 MB. Mchakato wa kuunda muundo ni wa rasilimali nyingi, lakini unafanywa kwenye seva ya Mozilla na mtumiaji hupewa sasisho lililotengenezwa tayari. Kwa mfano, katika mfumo wa binary, data ya chanzo inayotumiwa wakati wa uzalishaji inahitaji kuhusu GB 16 ya kumbukumbu inapohifadhiwa katika Redis DBMS, na katika fomu ya hexadecimal, utupaji wa nambari zote za serial za cheti huchukua takriban 6.7 GB. Mchakato wa kujumlisha vyeti vyote vilivyobatilishwa na amilifu huchukua kama dakika 40, na mchakato wa kutengeneza muundo uliofungashwa kulingana na kichujio cha Bloom huchukua dakika 20 nyingine.
Mozilla kwa sasa inahakikisha kuwa hifadhidata ya CRLite inasasishwa mara nne kwa siku (si masasisho yote yanayoletwa kwa wateja). Uzalishaji wa masasisho ya delta bado haujatekelezwa - matumizi ya bsdiff4, inayotumiwa kuunda sasisho za delta kwa matoleo, haitoi ufanisi wa kutosha kwa CRLite na masasisho ni makubwa mno. Ili kuondokana na upungufu huu, imepangwa kurekebisha muundo wa muundo wa kuhifadhi ili kuondokana na ujenzi usiohitajika na kufuta tabaka.
CRLite kwa sasa inafanya kazi katika Firefox katika hali ya passiv na inatumika sambamba na OCSP kukusanya takwimu kuhusu utendakazi sahihi. CRLite inaweza kubadilishwa hadi modi kuu ya skanisho, ili kufanya hivi, unahitaji kuweka kigezo security.pki.crlite_mode = 2 in about:config.
Chanzo: opennet.ru