Ширкати Mozilla
Тафтиши сертификат бо истифода аз хидматҳои беруна дар асоси протоколе, ки ҳоло ҳам истифода мешавад
Барои бастани шаҳодатномаҳое, ки аз ҷониби мақомоти сертификатсия вайрон ва бекор карда шудаанд, Firefox аз соли 2015 рӯйхати сиёҳи мутамарказро истифода мебарад.
Бо нобаёнӣ, агар тавассути OCSP тафтиш кардан ғайриимкон бошад, браузер сертификатро дуруст мешуморад. Ин хидмат метавонад бо сабаби мушкилоти шабакавӣ ва маҳдудиятҳо дар шабакаҳои дохилӣ дастнорас бошад ё аз ҷониби ҳамлагарон баста шавад - барои гузаштан аз санҷиши OCSP ҳангоми ҳамлаи MITM, танҳо дастрасӣ ба хидмати чекро маҳкам кунед. Қисман барои пешгирии чунин ҳамлаҳо як техника амалӣ карда шудааст
CRLite ба шумо имкон медиҳад, ки маълумоти мукаммалро дар бораи ҳамаи шаҳодатномаҳои бозхондашударо ба сохтори ба осонӣ навшаванда, ҳамагӣ 1 МБ андоза муттаҳид созед, ки ин имкон медиҳад, ки дар тарафи муштарӣ пойгоҳи пурраи CRL нигоҳ дошта шавад.
Браузер метавонад ҳар рӯз нусхаи маълумотро дар бораи сертификатҳои бозхондашуда ҳамоҳанг созад ва ин махзани маълумот дар ҳама гуна шароит дастрас хоҳад буд.
CRLite маълумотро аз
Барои бартараф кардани мусбатҳои бардурӯғ, CRLite сатҳҳои иловагии филтрҳои ислоҳкунандаро ҷорӣ кардааст. Пас аз тавлиди сохтор, ҳамаи сабтҳои манбаъ ҷустуҷӯ карда мешаванд ва ҳама гуна мусбатҳои бардурӯғ муайян карда мешаванд. Дар асоси натиљањои ин санљиш сохтори иловагие сохта мешавад, ки ба яки аввал љойгир карда мешавад ва позитивњои бардурўѓи ба вуљудомадаро ислоњ мекунад. Амалиёт то он даме, ки мусбатҳои бардурӯғ ҳангоми санҷиши назорат пурра бартараф карда шаванд, такрор карда мешавад. Одатан, сохтани 7-10 қабат барои пурра фаро гирифтани тамоми маълумот кифоя аст. Азбаски ҳолати махзани маълумот бо сабаби ҳамоҳангсозии даврӣ аз ҳолати кунунии CRL каме ақиб мондааст, санҷиши сертификатҳои нав, ки пас аз навсозии охирини пойгоҳи додаҳои CRLite дода шудаанд, бо истифода аз протоколи OCSP, аз ҷумла бо истифода аз
Бо истифода аз филтрҳои Bloom, қисмати иттилооти моҳи декабри WebPKI, ки 100 миллион сертификатҳои фаъол ва 750 ҳазор шаҳодатномаҳои бозхондашударо дар бар мегирад, тавонист ба сохтори 1.3 МБ ҳаҷм баста шавад. Раванди тавлиди сохтор хеле серталаб аст, аммо он дар сервери Mozilla иҷро карда мешавад ва ба корбар навсозии тайёр дода мешавад. Масалан, дар шакли бинарӣ, маълумоти сарчашмае, ки ҳангоми тавлид истифода мешавад, ҳангоми нигоҳдорӣ дар Redis DBMS тақрибан 16 ГБ хотираро талаб мекунад ва дар шакли шонздаҳӣ, партови ҳама рақамҳои силсилавии сертификатҳо тақрибан 6.7 ГБ-ро мегирад. Раванди ҷамъоварии ҳамаи шаҳодатномаҳои бекоршуда ва фаъол тақрибан 40 дақиқа ва раванди тавлиди сохтори бастабандишуда дар асоси филтри Блум 20 дақиқаи дигарро мегирад.
Дар айни замон Mozilla кафолат медиҳад, ки пойгоҳи додаҳои CRLite дар як рӯз чор маротиба нав карда мешавад (на ҳама навсозиҳо ба мизоҷон расонида мешаванд). Насли навсозиҳои делта ҳанӯз амалӣ карда нашудааст - истифодаи bsdiff4, ки барои эҷоди навсозиҳои делта барои релизҳо истифода мешавад, барои CRLite самаранокии мувофиқро таъмин намекунад ва навсозиҳо беасос калонанд. Барои бартараф кардани ин нуқсон, дар назар аст, ки формати сохтори нигоҳдорӣ аз нав кор карда шавад, то азнавсозии нолозим ва нест кардани қабатҳо бартараф карда шавад.
Ҳоло CRLite дар Firefox дар реҷаи ғайрифаъол кор мекунад ва дар баробари OCSP барои ҷамъ овардани омор дар бораи амалиёти дуруст истифода мешавад. CRLite-ро ба реҷаи асосии скан кардан мумкин аст; барои ин, шумо бояд параметри security.pki.crlite_mode = 2-ро дар about:config насб кунед.
Манбаъ: opennet.ru