మొజిల్లా కంపెనీ రద్దు చేయబడిన సర్టిఫికేట్లను గుర్తించడానికి కొత్త మెకానిజం Firefox యొక్క రాత్రిపూట నిర్మాణాలలో పరీక్ష ప్రారంభం గురించి - . వినియోగదారు సిస్టమ్లో హోస్ట్ చేయబడిన డేటాబేస్కు వ్యతిరేకంగా ప్రభావవంతమైన సర్టిఫికేట్ రద్దు తనిఖీని నిర్వహించడానికి CRLite మిమ్మల్ని అనుమతిస్తుంది. మొజిల్లా యొక్క CRLite అమలు ఉచిత MPL 2.0 లైసెన్స్ క్రింద. డేటాబేస్ మరియు సర్వర్ భాగాలను రూపొందించడానికి కోడ్ వ్రాయబడింది మరియు వెళ్ళు. డేటాబేస్ నుండి డేటాను చదవడానికి క్లయింట్ భాగాలు Firefoxకి జోడించబడ్డాయి రస్ట్ భాషలో.
ఇప్పటికీ ఉపయోగించబడుతున్న ప్రోటోకాల్ ఆధారంగా బాహ్య సేవలను ఉపయోగించి సర్టిఫికేట్ ధృవీకరణ (ఆన్లైన్ సర్టిఫికేట్ స్టేటస్ ప్రోటోకాల్)కి హామీ ఇవ్వబడిన నెట్వర్క్ యాక్సెస్ అవసరం, అభ్యర్థన ప్రాసెసింగ్లో గణనీయమైన జాప్యానికి దారితీస్తుంది (సగటున 350మి.లు) మరియు గోప్యతను నిర్ధారించడంలో సమస్యలు ఉన్నాయి (అభ్యర్థనలకు ప్రతిస్పందించే OCSP సర్వర్లు నిర్దిష్ట సర్టిఫికేట్ల గురించి సమాచారాన్ని అందుకుంటాయి, ఇది దేనిని నిర్ధారించడానికి ఉపయోగించబడుతుంది వినియోగదారు తెరిచే సైట్లు). జాబితాలకు వ్యతిరేకంగా స్థానికంగా తనిఖీ చేసే అవకాశం కూడా ఉంది (సర్టిఫికేట్ రద్దు జాబితా), కానీ ఈ పద్ధతి యొక్క ప్రతికూలత డౌన్లోడ్ చేయబడిన డేటా యొక్క చాలా పెద్ద పరిమాణం - ప్రస్తుతం రద్దు చేయబడిన సర్టిఫికేట్ల డేటాబేస్ సుమారు 300 MB ఆక్రమించింది మరియు దాని పెరుగుదల కొనసాగుతుంది.
సర్టిఫికేషన్ అధికారులచే రాజీపడిన మరియు రద్దు చేయబడిన సర్టిఫికేట్లను బ్లాక్ చేయడానికి, Firefox 2015 నుండి కేంద్రీకృత బ్లాక్లిస్ట్ని ఉపయోగించింది సేవకు కాల్తో కలిపి సాధ్యమయ్యే హానికరమైన కార్యాచరణను గుర్తించడానికి. OneCRL, ఇష్టం Chromeలో, ధృవీకరణ అధికారుల నుండి CRL జాబితాలను సమగ్రపరిచే ఇంటర్మీడియట్ లింక్గా పనిచేస్తుంది మరియు రద్దు చేయబడిన సర్టిఫికేట్లను తనిఖీ చేయడానికి ఒకే కేంద్రీకృత OCSP సేవను అందిస్తుంది, తద్వారా ధృవీకరణ అధికారులకు నేరుగా అభ్యర్థనలను పంపకుండా చేయడం సాధ్యపడుతుంది. ఆన్లైన్ సర్టిఫికేట్ వెరిఫికేషన్ సేవ యొక్క విశ్వసనీయతను మెరుగుపరచడానికి చాలా పని చేసినప్పటికీ, టెలిమెట్రీ డేటా 7% కంటే ఎక్కువ OCSP అభ్యర్థనల సమయం ముగిసింది (కొన్ని సంవత్సరాల క్రితం ఈ సంఖ్య 15%).
డిఫాల్ట్గా, OCSP ద్వారా ధృవీకరించడం అసాధ్యం అయితే, బ్రౌజర్ ప్రమాణపత్రాన్ని చెల్లుబాటు అయ్యేదిగా పరిగణిస్తుంది. నెట్వర్క్ సమస్యలు మరియు అంతర్గత నెట్వర్క్లపై పరిమితుల కారణంగా సేవ అందుబాటులో ఉండకపోవచ్చు లేదా దాడి చేసే వారిచే బ్లాక్ చేయబడి ఉండవచ్చు - MITM దాడి సమయంలో OCSP చెక్ను దాటవేయడానికి, చెక్ సేవకు యాక్సెస్ను బ్లాక్ చేయండి. అటువంటి దాడులను పాక్షికంగా నిరోధించడానికి, ఒక సాంకేతికత అమలు చేయబడింది , ఇది OCSP యాక్సెస్ లోపం లేదా OCSP లభ్యతను సర్టిఫికేట్తో సమస్యగా పరిగణించడానికి మిమ్మల్ని అనుమతిస్తుంది, కానీ ఈ ఫీచర్ ఐచ్ఛికం మరియు సర్టిఫికేట్ యొక్క ప్రత్యేక నమోదు అవసరం.
CRLite అన్ని రద్దు చేయబడిన సర్టిఫికేట్ల గురించిన పూర్తి సమాచారాన్ని సులభంగా నవీకరించబడిన నిర్మాణంలో ఏకీకృతం చేయడానికి మిమ్మల్ని అనుమతిస్తుంది, కేవలం 1 MB పరిమాణం మాత్రమే ఉంటుంది, ఇది క్లయింట్ వైపు పూర్తి CRL డేటాబేస్ను నిల్వ చేయడం సాధ్యపడుతుంది.
రద్దు చేయబడిన సర్టిఫికేట్ల గురించిన డేటా కాపీని బ్రౌజర్ ప్రతిరోజూ సమకాలీకరించగలదు మరియు ఈ డేటాబేస్ ఏ పరిస్థితుల్లోనైనా అందుబాటులో ఉంటుంది.
నుండి సమాచారాన్ని CRLite మిళితం చేస్తుంది , జారీ చేయబడిన మరియు రద్దు చేయబడిన అన్ని సర్టిఫికేట్ల పబ్లిక్ లాగ్ మరియు ఇంటర్నెట్లో సర్టిఫికేట్లను స్కానింగ్ చేసిన ఫలితాలు (ధృవీకరణ అధికారుల యొక్క వివిధ CRL జాబితాలు సేకరించబడతాయి మరియు అన్ని తెలిసిన సర్టిఫికేట్ల గురించిన సమాచారం సమగ్రపరచబడుతుంది). డేటా క్యాస్కేడింగ్ ఉపయోగించి ప్యాక్ చేయబడింది , తప్పిపోయిన మూలకం యొక్క తప్పుడు గుర్తింపును అనుమతించే సంభావ్యత నిర్మాణం, కానీ ఇప్పటికే ఉన్న మూలకం యొక్క విస్మరణను మినహాయిస్తుంది (అనగా, ఒక నిర్దిష్ట సంభావ్యతతో, సరైన సర్టిఫికేట్కు తప్పుడు సానుకూలం సాధ్యమే, కానీ రద్దు చేయబడిన ప్రమాణపత్రాలు గుర్తించబడతాయని హామీ ఇవ్వబడుతుంది).
తప్పుడు పాజిటివ్లను తొలగించడానికి, CRLite అదనపు దిద్దుబాటు ఫిల్టర్ స్థాయిలను ప్రవేశపెట్టింది. నిర్మాణాన్ని రూపొందించిన తర్వాత, అన్ని మూలాధార రికార్డులు శోధించబడతాయి మరియు ఏవైనా తప్పుడు పాజిటివ్లు గుర్తించబడతాయి. ఈ తనిఖీ ఫలితాల ఆధారంగా, ఒక అదనపు నిర్మాణం సృష్టించబడుతుంది, ఇది మొదటిదానిపైకి క్యాస్కేడ్ చేయబడుతుంది మరియు ఫలితంగా తప్పుడు పాజిటివ్లను సరిచేస్తుంది. నియంత్రణ తనిఖీ సమయంలో తప్పుడు పాజిటివ్లు పూర్తిగా తొలగించబడే వరకు ఆపరేషన్ పునరావృతమవుతుంది. సాధారణంగా, మొత్తం డేటాను కవర్ చేయడానికి 7-10 లేయర్లను సృష్టించడం సరిపోతుంది. డేటాబేస్ యొక్క స్థితి, ఆవర్తన సమకాలీకరణ కారణంగా, CRL యొక్క ప్రస్తుత స్థితి కంటే కొంచెం వెనుకబడి ఉన్నందున, CRLite డేటాబేస్ యొక్క చివరి నవీకరణ తర్వాత జారీ చేయబడిన కొత్త ధృవపత్రాల తనిఖీ OCSP ప్రోటోకాల్ను ఉపయోగించి నిర్వహించబడుతుంది. (TLS కనెక్షన్పై చర్చలు జరుపుతున్నప్పుడు ధృవీకరణ అధికారం ద్వారా ధృవీకరించబడిన OCSP ప్రతిస్పందన సైట్కు సేవలు అందించే సర్వర్ ద్వారా ప్రసారం చేయబడుతుంది).
బ్లూమ్ ఫిల్టర్లను ఉపయోగించి, WebPKI నుండి డిసెంబర్ స్లైస్ సమాచారం, 100 మిలియన్ యాక్టివ్ సర్టిఫికేట్లు మరియు 750 వేల రద్దు చేయబడిన సర్టిఫికేట్లను కవర్ చేస్తుంది, 1.3 MB పరిమాణంలో నిర్మాణంలో ప్యాక్ చేయగలిగారు. స్ట్రక్చర్ జనరేషన్ ప్రాసెస్ చాలా రిసోర్స్-ఇంటెన్సివ్గా ఉంటుంది, అయితే ఇది మొజిల్లా సర్వర్లో నిర్వహించబడుతుంది మరియు వినియోగదారుకు రెడీమేడ్ అప్డేట్ ఇవ్వబడుతుంది. ఉదాహరణకు, బైనరీ రూపంలో, Redis DBMSలో నిల్వ చేయబడినప్పుడు జనరేషన్ సమయంలో ఉపయోగించే సోర్స్ డేటాకు దాదాపు 16 GB మెమరీ అవసరం మరియు హెక్సాడెసిమల్ రూపంలో, అన్ని సర్టిఫికేట్ క్రమ సంఖ్యల డంప్ 6.7 GB పడుతుంది. అన్ని ఉపసంహరించబడిన మరియు సక్రియ సర్టిఫికేట్లను సమీకరించే ప్రక్రియ దాదాపు 40 నిమిషాలు పడుతుంది మరియు బ్లూమ్ ఫిల్టర్ ఆధారంగా ప్యాక్ చేయబడిన నిర్మాణాన్ని రూపొందించే ప్రక్రియ మరో 20 నిమిషాలు పడుతుంది.
Mozilla ప్రస్తుతం CRLite డేటాబేస్ రోజుకు నాలుగు సార్లు నవీకరించబడుతుందని నిర్ధారిస్తుంది (అన్ని అప్డేట్లు క్లయింట్లకు అందించబడవు). డెల్టా అప్డేట్ల జనరేషన్ ఇంకా అమలు చేయబడలేదు - విడుదలల కోసం డెల్టా అప్డేట్లను రూపొందించడానికి ఉపయోగించే bsdiff4 ఉపయోగం, CRLite కోసం తగిన సామర్థ్యాన్ని అందించదు మరియు అప్డేట్లు అసమంజసంగా పెద్దవిగా ఉన్నాయి. ఈ లోపాన్ని తొలగించడానికి, అనవసరమైన పునర్నిర్మాణం మరియు పొరల తొలగింపును తొలగించడానికి నిల్వ నిర్మాణం యొక్క ఆకృతిని మళ్లీ పని చేయడానికి ప్రణాళిక చేయబడింది.
CRLite ప్రస్తుతం Firefoxలో నిష్క్రియ మోడ్లో పని చేస్తుంది మరియు సరైన ఆపరేషన్ గురించి గణాంకాలను సేకరించేందుకు OCSPతో సమాంతరంగా ఉపయోగించబడుతుంది. CRLite ప్రధాన స్కాన్ మోడ్కు మారవచ్చు; దీన్ని చేయడానికి, మీరు about:configలో security.pki.crlite_mode = 2 పరామితిని సెట్ చేయాలి.
మూలం: opennet.ru