Mozilla Company
Pag-verify ng sertipiko gamit ang mga panlabas na serbisyo batay sa protocol na ginagamit pa rin
Para harangan ang mga certificate na nakompromiso at binawi ng mga awtoridad sa certification, gumamit ang Firefox ng sentralisadong blacklist mula noong 2015
Bilang default, kung imposibleng i-verify sa pamamagitan ng OCSP, itinuturing ng browser na wasto ang certificate. Maaaring hindi available ang serbisyo dahil sa mga problema sa network at mga paghihigpit sa mga panloob na network, o na-block ng mga umaatake - upang i-bypass ang tseke ng OCSP sa panahon ng pag-atake ng MITM, i-block lang ang access sa serbisyo ng tseke. Bahagyang upang maiwasan ang mga naturang pag-atake, isang pamamaraan ang ipinatupad
Binibigyang-daan ka ng CRLite na pagsamahin ang kumpletong impormasyon tungkol sa lahat ng binawi na mga sertipiko sa isang madaling na-update na istraktura, 1 MB lang ang laki, na ginagawang posible na mag-imbak ng kumpletong database ng CRL sa panig ng kliyente.
Magagawa ng browser na i-synchronize ang kopya nito ng data tungkol sa mga binawi na certificate araw-araw, at magiging available ang database na ito sa ilalim ng anumang kundisyon.
Pinagsasama ng CRLite ang impormasyon mula sa
Upang alisin ang mga maling positibo, ang CRLite ay nagpakilala ng mga karagdagang antas ng pagwawasto ng filter. Pagkatapos mabuo ang istraktura, hahanapin ang lahat ng source record at matukoy ang anumang maling positibo. Batay sa mga resulta ng tseke na ito, isang karagdagang istraktura ang nilikha, na inilalagay sa una at itinatama ang mga nagresultang maling positibo. Ang operasyon ay paulit-ulit hanggang ang mga maling positibo sa panahon ng control check ay ganap na maalis. Karaniwan, ang paggawa ng 7-10 layer ay sapat na upang ganap na masakop ang lahat ng data. Dahil ang estado ng database, dahil sa pana-panahong pag-synchronize, ay nahuhuli nang bahagya sa kasalukuyang estado ng CRL, ang pagsuri ng mga bagong sertipiko na ibinigay pagkatapos ng huling pag-update ng CRLite database ay isinasagawa gamit ang OCSP protocol, kasama ang paggamit ng
Gamit ang mga filter ng Bloom, ang bahagi ng Disyembre ng impormasyon mula sa WebPKI, na sumasaklaw sa 100 milyong aktibong mga sertipiko at 750 libong binawi na mga sertipiko, ay nai-pack sa isang istraktura na 1.3 MB ang laki. Ang proseso ng pagbuo ng istraktura ay medyo masinsinang mapagkukunan, ngunit ito ay isinasagawa sa Mozilla server at ang gumagamit ay binibigyan ng isang handa na pag-update. Halimbawa, sa binary form, ang source data na ginamit sa pagbuo ay nangangailangan ng humigit-kumulang 16 GB ng memory kapag naka-store sa Redis DBMS, at sa hexadecimal form, ang isang dump ng lahat ng certificate serial number ay tumatagal ng humigit-kumulang 6.7 GB. Ang proseso ng pagsasama-sama ng lahat ng binawi at aktibong certificate ay tumatagal ng humigit-kumulang 40 minuto, at ang proseso ng pagbuo ng isang naka-package na istraktura batay sa Bloom filter ay tumatagal ng isa pang 20 minuto.
Kasalukuyang tinitiyak ng Mozilla na ang CRLite database ay ina-update ng apat na beses sa isang araw (hindi lahat ng mga update ay inihahatid sa mga kliyente). Ang pagbuo ng mga update sa delta ay hindi pa naipapatupad - ang paggamit ng bsdiff4, na ginamit upang lumikha ng mga update sa delta para sa mga release, ay hindi nagbibigay ng sapat na kahusayan para sa CRLite at ang mga update ay hindi makatwirang malaki. Upang maalis ang disbentaha na ito, pinlano na muling ayusin ang format ng istraktura ng imbakan upang maalis ang hindi kinakailangang muling pagtatayo at pagtanggal ng mga layer.
Kasalukuyang gumagana ang CRLite sa Firefox sa passive mode at ginagamit kasabay ng OCSP upang makaipon ng mga istatistika tungkol sa tamang operasyon. Maaaring ilipat ang CRLite sa main scan mode, para magawa ito, kailangan mong itakda ang parameter na security.pki.crlite_mode = 2 sa about:config.
Pinagmulan: opennet.ru