మొజిల్లా కంపెనీ
ఇప్పటికీ ఉపయోగించబడుతున్న ప్రోటోకాల్ ఆధారంగా బాహ్య సేవలను ఉపయోగించి సర్టిఫికేట్ ధృవీకరణ
సర్టిఫికేషన్ అధికారులచే రాజీపడిన మరియు రద్దు చేయబడిన సర్టిఫికేట్లను బ్లాక్ చేయడానికి, Firefox 2015 నుండి కేంద్రీకృత బ్లాక్లిస్ట్ని ఉపయోగించింది
డిఫాల్ట్గా, OCSP ద్వారా ధృవీకరించడం అసాధ్యం అయితే, బ్రౌజర్ ప్రమాణపత్రాన్ని చెల్లుబాటు అయ్యేదిగా పరిగణిస్తుంది. నెట్వర్క్ సమస్యలు మరియు అంతర్గత నెట్వర్క్లపై పరిమితుల కారణంగా సేవ అందుబాటులో ఉండకపోవచ్చు లేదా దాడి చేసే వారిచే బ్లాక్ చేయబడి ఉండవచ్చు - MITM దాడి సమయంలో OCSP చెక్ను దాటవేయడానికి, చెక్ సేవకు యాక్సెస్ను బ్లాక్ చేయండి. అటువంటి దాడులను పాక్షికంగా నిరోధించడానికి, ఒక సాంకేతికత అమలు చేయబడింది
CRLite అన్ని రద్దు చేయబడిన సర్టిఫికేట్ల గురించిన పూర్తి సమాచారాన్ని సులభంగా నవీకరించబడిన నిర్మాణంలో ఏకీకృతం చేయడానికి మిమ్మల్ని అనుమతిస్తుంది, కేవలం 1 MB పరిమాణం మాత్రమే ఉంటుంది, ఇది క్లయింట్ వైపు పూర్తి CRL డేటాబేస్ను నిల్వ చేయడం సాధ్యపడుతుంది.
రద్దు చేయబడిన సర్టిఫికేట్ల గురించిన డేటా కాపీని బ్రౌజర్ ప్రతిరోజూ సమకాలీకరించగలదు మరియు ఈ డేటాబేస్ ఏ పరిస్థితుల్లోనైనా అందుబాటులో ఉంటుంది.
నుండి సమాచారాన్ని CRLite మిళితం చేస్తుంది
తప్పుడు పాజిటివ్లను తొలగించడానికి, CRLite అదనపు దిద్దుబాటు ఫిల్టర్ స్థాయిలను ప్రవేశపెట్టింది. నిర్మాణాన్ని రూపొందించిన తర్వాత, అన్ని మూలాధార రికార్డులు శోధించబడతాయి మరియు ఏవైనా తప్పుడు పాజిటివ్లు గుర్తించబడతాయి. ఈ తనిఖీ ఫలితాల ఆధారంగా, ఒక అదనపు నిర్మాణం సృష్టించబడుతుంది, ఇది మొదటిదానిపైకి క్యాస్కేడ్ చేయబడుతుంది మరియు ఫలితంగా తప్పుడు పాజిటివ్లను సరిచేస్తుంది. నియంత్రణ తనిఖీ సమయంలో తప్పుడు పాజిటివ్లు పూర్తిగా తొలగించబడే వరకు ఆపరేషన్ పునరావృతమవుతుంది. సాధారణంగా, మొత్తం డేటాను కవర్ చేయడానికి 7-10 లేయర్లను సృష్టించడం సరిపోతుంది. డేటాబేస్ యొక్క స్థితి, ఆవర్తన సమకాలీకరణ కారణంగా, CRL యొక్క ప్రస్తుత స్థితి కంటే కొంచెం వెనుకబడి ఉన్నందున, CRLite డేటాబేస్ యొక్క చివరి నవీకరణ తర్వాత జారీ చేయబడిన కొత్త ధృవపత్రాల తనిఖీ OCSP ప్రోటోకాల్ను ఉపయోగించి నిర్వహించబడుతుంది.
బ్లూమ్ ఫిల్టర్లను ఉపయోగించి, WebPKI నుండి డిసెంబర్ స్లైస్ సమాచారం, 100 మిలియన్ యాక్టివ్ సర్టిఫికేట్లు మరియు 750 వేల రద్దు చేయబడిన సర్టిఫికేట్లను కవర్ చేస్తుంది, 1.3 MB పరిమాణంలో నిర్మాణంలో ప్యాక్ చేయగలిగారు. స్ట్రక్చర్ జనరేషన్ ప్రాసెస్ చాలా రిసోర్స్-ఇంటెన్సివ్గా ఉంటుంది, అయితే ఇది మొజిల్లా సర్వర్లో నిర్వహించబడుతుంది మరియు వినియోగదారుకు రెడీమేడ్ అప్డేట్ ఇవ్వబడుతుంది. ఉదాహరణకు, బైనరీ రూపంలో, Redis DBMSలో నిల్వ చేయబడినప్పుడు జనరేషన్ సమయంలో ఉపయోగించే సోర్స్ డేటాకు దాదాపు 16 GB మెమరీ అవసరం మరియు హెక్సాడెసిమల్ రూపంలో, అన్ని సర్టిఫికేట్ క్రమ సంఖ్యల డంప్ 6.7 GB పడుతుంది. అన్ని ఉపసంహరించబడిన మరియు సక్రియ సర్టిఫికేట్లను సమీకరించే ప్రక్రియ దాదాపు 40 నిమిషాలు పడుతుంది మరియు బ్లూమ్ ఫిల్టర్ ఆధారంగా ప్యాక్ చేయబడిన నిర్మాణాన్ని రూపొందించే ప్రక్రియ మరో 20 నిమిషాలు పడుతుంది.
Mozilla ప్రస్తుతం CRLite డేటాబేస్ రోజుకు నాలుగు సార్లు నవీకరించబడుతుందని నిర్ధారిస్తుంది (అన్ని అప్డేట్లు క్లయింట్లకు అందించబడవు). డెల్టా అప్డేట్ల జనరేషన్ ఇంకా అమలు చేయబడలేదు - విడుదలల కోసం డెల్టా అప్డేట్లను రూపొందించడానికి ఉపయోగించే bsdiff4 ఉపయోగం, CRLite కోసం తగిన సామర్థ్యాన్ని అందించదు మరియు అప్డేట్లు అసమంజసంగా పెద్దవిగా ఉన్నాయి. ఈ లోపాన్ని తొలగించడానికి, అనవసరమైన పునర్నిర్మాణం మరియు పొరల తొలగింపును తొలగించడానికి నిల్వ నిర్మాణం యొక్క ఆకృతిని మళ్లీ పని చేయడానికి ప్రణాళిక చేయబడింది.
CRLite ప్రస్తుతం Firefoxలో నిష్క్రియ మోడ్లో పని చేస్తుంది మరియు సరైన ఆపరేషన్ గురించి గణాంకాలను సేకరించేందుకు OCSPతో సమాంతరంగా ఉపయోగించబడుతుంది. CRLite ప్రధాన స్కాన్ మోడ్కు మారవచ్చు; దీన్ని చేయడానికి, మీరు about:configలో security.pki.crlite_mode = 2 పరామితిని సెట్ చేయాలి.
మూలం: opennet.ru