Ширкати Mozilla дар бораи оғози санҷиш дар сохторҳои шабонарӯзии Firefox механизми нави ошкор кардани шаҳодатномаҳои бекоршуда - . CRLite ба шумо имкон медиҳад, ки санҷиши самараноки бозхонди шаҳодатномаҳоро бар зидди пойгоҳи додаҳои дар системаи корбар ҷойгиршуда ташкил кунед. Амалисозии CRLite дар Mozilla таҳти иҷозатномаи MPL 2.0 ройгон. Рамзи тавлиди пойгоҳи додаҳо ва ҷузъҳои сервер дар он навишта шудааст ва Бирав. Қисмҳои муштарӣ ба Firefox барои хондани маълумот аз пойгоҳи додаҳо илова карда шуданд ба забони руст.
Тафтиши сертификат бо истифода аз хидматҳои беруна дар асоси протоколе, ки ҳоло ҳам истифода мешавад (Протоколи статуси сертификати онлайн) дастрасии кафолатноки шабакаро талаб мекунад, боиси таъхири назарраси коркарди дархост мегардад (ба ҳисоби миёна 350 мс) ва бо таъмини махфият мушкилот дорад (серверҳои OCSP, ки ба дархостҳо посух медиҳанд, маълумотро дар бораи сертификатҳои мушаххас мегиранд, ки метавонанд барои муайян кардани он, ки оё он чӣ сайтҳое, ки корбар мекушояд). Инчунин имкони санҷиши маҳаллӣ нисбат ба рӯйхатҳо вуҷуд дорад (Рӯйхати бекоркунии сертификатҳо), аммо камбудии ин усул андозаи хеле калони маълумоти зеркашидашуда мебошад - айни замон базаи шаҳодатномаҳои бекоршуда тақрибан 300 МБ-ро ишғол мекунад ва афзоиши он идома дорад.
Барои бастани шаҳодатномаҳое, ки аз ҷониби мақомоти сертификатсия вайрон ва бекор карда шудаанд, Firefox аз соли 2015 рӯйхати сиёҳи мутамарказро истифода мебарад. дар якҷоягӣ бо занг ба хидмат барои муайян кардани фаъолияти эҳтимолии зараровар. OneCRL, монанди дар Chrome, ҳамчун як пайванди фосилавӣ амал мекунад, ки рӯйхати CRL-ро аз мақомоти сертификатсия ҷамъоварӣ мекунад ва хидмати ягонаи мутамаркази OCSP-ро барои тафтиши сертификатҳои бозхондашуда таъмин мекунад ва имкон медиҳад, ки дархостҳо мустақиман ба мақомоти сертификатсия ирсол нашаванд. Сарфи назар аз корҳои зиёд барои баланд бардоштани эътимоднокии хидмати санҷиши сертификати онлайн, маълумоти телеметрӣ нишон медиҳад, ки зиёда аз 7% дархостҳои OCSP ба итмом мерасанд (чанд сол пеш ин рақам 15% буд).
Бо нобаёнӣ, агар тавассути OCSP тафтиш кардан ғайриимкон бошад, браузер сертификатро дуруст мешуморад. Ин хидмат метавонад бо сабаби мушкилоти шабакавӣ ва маҳдудиятҳо дар шабакаҳои дохилӣ дастнорас бошад ё аз ҷониби ҳамлагарон баста шавад - барои гузаштан аз санҷиши OCSP ҳангоми ҳамлаи MITM, танҳо дастрасӣ ба хидмати чекро маҳкам кунед. Қисман барои пешгирии чунин ҳамлаҳо як техника амалӣ карда шудааст , ки ба шумо имкон медиҳад, ки хатои дастрасии OCSP ё дастнорас будани OCSP-ро ҳамчун мушкилот бо сертификат баррасӣ кунед, аммо ин хусусият ихтиёрист ва сабти махсуси сертификатро талаб мекунад.
CRLite ба шумо имкон медиҳад, ки маълумоти мукаммалро дар бораи ҳамаи шаҳодатномаҳои бозхондашударо ба сохтори ба осонӣ навшаванда, ҳамагӣ 1 МБ андоза муттаҳид созед, ки ин имкон медиҳад, ки дар тарафи муштарӣ пойгоҳи пурраи CRL нигоҳ дошта шавад.
Браузер метавонад ҳар рӯз нусхаи маълумотро дар бораи сертификатҳои бозхондашуда ҳамоҳанг созад ва ин махзани маълумот дар ҳама гуна шароит дастрас хоҳад буд.
CRLite маълумотро аз , журнали оммавии ҳамаи шаҳодатномаҳои додашуда ва бекоршуда ва натиҷаҳои сканкунии сертификатҳо дар Интернет (рӯйхати CRL-и гуногуни мақомоти сертификатсия ҷамъоварӣ карда мешавад ва маълумот дар бораи ҳамаи сертификатҳои маълум ҷамъоварӣ карда мешавад). Маълумот бо истифода аз каскад бастабандӣ карда мешавад , сохтори эҳтимолӣ, ки имкон медиҳад, ки як унсури гумшуда ошкор карда шавад, аммо нодида гирифтани унсури мавҷударо истисно мекунад (яъне, бо эҳтимолияти муайян, мусбати бардурӯғ барои шаҳодатномаи дуруст имконпазир аст, аммо шаҳодатномаҳои бекоршуда муайян карда мешаванд).
Барои бартараф кардани мусбатҳои бардурӯғ, CRLite сатҳҳои иловагии филтрҳои ислоҳкунандаро ҷорӣ кардааст. Пас аз тавлиди сохтор, ҳамаи сабтҳои манбаъ ҷустуҷӯ карда мешаванд ва ҳама гуна мусбатҳои бардурӯғ муайян карда мешаванд. Дар асоси натиљањои ин санљиш сохтори иловагие сохта мешавад, ки ба яки аввал љойгир карда мешавад ва позитивњои бардурўѓи ба вуљудомадаро ислоњ мекунад. Амалиёт то он даме, ки мусбатҳои бардурӯғ ҳангоми санҷиши назорат пурра бартараф карда шаванд, такрор карда мешавад. Одатан, сохтани 7-10 қабат барои пурра фаро гирифтани тамоми маълумот кифоя аст. Азбаски ҳолати махзани маълумот бо сабаби ҳамоҳангсозии даврӣ аз ҳолати кунунии CRL каме ақиб мондааст, санҷиши сертификатҳои нав, ки пас аз навсозии охирини пойгоҳи додаҳои CRLite дода шудаанд, бо истифода аз протоколи OCSP, аз ҷумла бо истифода аз (Ҷавоби OCSP, ки аз ҷониби мақомоти сертификатсия тасдиқ шудааст, аз ҷониби сервере, ки ба сайт хидмат мерасонад, ҳангоми гуфтушунид оид ба пайвасти TLS интиқол дода мешавад).
Бо истифода аз филтрҳои Bloom, қисмати иттилооти моҳи декабри WebPKI, ки 100 миллион сертификатҳои фаъол ва 750 ҳазор шаҳодатномаҳои бозхондашударо дар бар мегирад, тавонист ба сохтори 1.3 МБ ҳаҷм баста шавад. Раванди тавлиди сохтор хеле серталаб аст, аммо он дар сервери Mozilla иҷро карда мешавад ва ба корбар навсозии тайёр дода мешавад. Масалан, дар шакли бинарӣ, маълумоти сарчашмае, ки ҳангоми тавлид истифода мешавад, ҳангоми нигоҳдорӣ дар Redis DBMS тақрибан 16 ГБ хотираро талаб мекунад ва дар шакли шонздаҳӣ, партови ҳама рақамҳои силсилавии сертификатҳо тақрибан 6.7 ГБ-ро мегирад. Раванди ҷамъоварии ҳамаи шаҳодатномаҳои бекоршуда ва фаъол тақрибан 40 дақиқа ва раванди тавлиди сохтори бастабандишуда дар асоси филтри Блум 20 дақиқаи дигарро мегирад.
Дар айни замон Mozilla кафолат медиҳад, ки пойгоҳи додаҳои CRLite дар як рӯз чор маротиба нав карда мешавад (на ҳама навсозиҳо ба мизоҷон расонида мешаванд). Насли навсозиҳои делта ҳанӯз амалӣ карда нашудааст - истифодаи bsdiff4, ки барои эҷоди навсозиҳои делта барои релизҳо истифода мешавад, барои CRLite самаранокии мувофиқро таъмин намекунад ва навсозиҳо беасос калонанд. Барои бартараф кардани ин нуқсон, дар назар аст, ки формати сохтори нигоҳдорӣ аз нав кор карда шавад, то азнавсозии нолозим ва нест кардани қабатҳо бартараф карда шавад.
Ҳоло CRLite дар Firefox дар реҷаи ғайрифаъол кор мекунад ва дар баробари OCSP барои ҷамъ овардани омор дар бораи амалиёти дуруст истифода мешавад. CRLite-ро ба реҷаи асосии скан кардан мумкин аст; барои ин, шумо бояд параметри security.pki.crlite_mode = 2-ро дар about:config насб кунед.
Манбаъ: opennet.ru