موزیلا کمپنی
پروٹوکول کی بنیاد پر بیرونی خدمات کا استعمال کرتے ہوئے سرٹیفکیٹ کی توثیق جو اب بھی استعمال کی جاتی ہے۔
سرٹیفیکیشن حکام کی طرف سے سمجھوتہ اور منسوخ کیے گئے سرٹیفکیٹس کو بلاک کرنے کے لیے، Firefox نے 2015 سے مرکزی بلیک لسٹ کا استعمال کیا ہے۔
پہلے سے طے شدہ طور پر، اگر OCSP کے ذریعے تصدیق کرنا ناممکن ہے، تو براؤزر سرٹیفکیٹ کو درست سمجھتا ہے۔ نیٹ ورک کے مسائل اور اندرونی نیٹ ورکس پر پابندیوں کی وجہ سے سروس دستیاب نہیں ہو سکتی ہے، یا حملہ آوروں کے ذریعے بلاک کر دی گئی ہے - MITM حملے کے دوران OCSP چیک کو نظرانداز کرنے کے لیے، بس چیک سروس تک رسائی کو روک دیں۔ جزوی طور پر اس طرح کے حملوں کو روکنے کے لئے، ایک تکنیک کو لاگو کیا گیا ہے
CRLite آپ کو تمام منسوخ شدہ سرٹیفکیٹس کے بارے میں مکمل معلومات کو آسانی سے اپ ڈیٹ کردہ ڈھانچے میں جمع کرنے کی اجازت دیتا ہے، جس کا سائز صرف 1 MB ہے، جو کلائنٹ کی طرف ایک مکمل CRL ڈیٹا بیس کو ذخیرہ کرنا ممکن بناتا ہے۔
براؤزر منسوخ شدہ سرٹیفکیٹس کے بارے میں ڈیٹا کی اپنی کاپی کو روزانہ مطابقت پذیر کر سکے گا، اور یہ ڈیٹا بیس کسی بھی حالت میں دستیاب ہوگا۔
CRLite سے معلومات کو یکجا کرتا ہے۔
غلط مثبت کو ختم کرنے کے لیے، CRLite نے اضافی اصلاحی فلٹر لیولز متعارف کرائے ہیں۔ ڈھانچہ تیار کرنے کے بعد، تمام سورس ریکارڈز کو تلاش کیا جاتا ہے اور کسی بھی غلط مثبت کی نشاندہی کی جاتی ہے۔ اس چیک کے نتائج کی بنیاد پر، ایک اضافی ڈھانچہ تشکیل دیا جاتا ہے، جو پہلے والے پر جھک جاتا ہے اور نتیجے میں آنے والے غلط مثبت کو درست کرتا ہے۔ آپریشن کو اس وقت تک دہرایا جاتا ہے جب تک کہ کنٹرول چیک کے دوران غلط مثبتات مکمل طور پر ختم نہ ہوجائیں۔ عام طور پر، تمام ڈیٹا کو مکمل طور پر کور کرنے کے لیے 7-10 پرتیں بنانا کافی ہے۔ چونکہ ڈیٹا بیس کی حالت، متواتر مطابقت پذیری کی وجہ سے، CRL کی موجودہ حالت سے تھوڑی پیچھے رہ جاتی ہے، CRLite ڈیٹا بیس کی آخری اپ ڈیٹ کے بعد جاری کردہ نئے سرٹیفکیٹس کی جانچ OCSP پروٹوکول کا استعمال کرتے ہوئے کی جاتی ہے، بشمول
بلوم فلٹرز کا استعمال کرتے ہوئے، WebPKI سے معلومات کا دسمبر کا ٹکڑا، جس میں 100 ملین فعال سرٹیفکیٹس اور 750 ہزار منسوخ شدہ سرٹیفکیٹس شامل ہیں، 1.3 MB سائز کے ڈھانچے میں پیک کیے جانے کے قابل تھے۔ ساخت کی تیاری کا عمل کافی وسائل پر مشتمل ہے، لیکن یہ موزیلا سرور پر انجام دیا جاتا ہے اور صارف کو ایک ریڈی میڈ اپ ڈیٹ دیا جاتا ہے۔ مثال کے طور پر، بائنری شکل میں، جنریشن کے دوران استعمال ہونے والے سورس ڈیٹا کے لیے ریڈیس ڈی بی ایم ایس میں ذخیرہ ہونے پر تقریباً 16 جی بی میموری کی ضرورت ہوتی ہے، اور ہیکساڈیسیمل شکل میں، تمام سرٹیفکیٹ سیریل نمبرز کا ڈمپ تقریباً 6.7 جی بی لیتا ہے۔ تمام منسوخ شدہ اور فعال سرٹیفکیٹس کو جمع کرنے کے عمل میں تقریباً 40 منٹ لگتے ہیں، اور بلوم فلٹر پر مبنی ایک پیکڈ ڈھانچہ تیار کرنے کے عمل میں مزید 20 منٹ لگتے ہیں۔
موزیلا فی الحال اس بات کو یقینی بناتا ہے کہ CRLite ڈیٹا بیس کو دن میں چار بار اپ ڈیٹ کیا جاتا ہے (سبھی اپ ڈیٹس کلائنٹس کو نہیں پہنچائی جاتی ہیں)۔ ڈیلٹا اپ ڈیٹس کی جنریشن ابھی تک لاگو نہیں ہوئی ہے - bsdiff4 کا استعمال، ریلیز کے لیے ڈیلٹا اپ ڈیٹس بنانے کے لیے استعمال کیا جاتا ہے، CRLite کے لیے مناسب کارکردگی فراہم نہیں کرتا ہے اور اپ ڈیٹس غیر معقول حد تک بڑی ہیں۔ اس خرابی کو دور کرنے کے لیے، غیر ضروری تعمیر نو اور تہوں کو حذف کرنے کے لیے اسٹوریج ڈھانچے کی شکل کو دوبارہ کام کرنے کا منصوبہ بنایا گیا ہے۔
CRLite فی الحال فائر فاکس میں غیر فعال موڈ میں کام کرتا ہے اور درست آپریشن کے بارے میں اعداد و شمار جمع کرنے کے لیے OCSP کے متوازی طور پر استعمال ہوتا ہے۔ CRLite کو مین اسکین موڈ میں تبدیل کیا جا سکتا ہے؛ ایسا کرنے کے لیے، آپ کو پیرامیٹر security.pki.crlite_mode = 2 کو about:config میں سیٹ کرنا ہوگا۔
ماخذ: opennet.ru