موزیلا کمپنی فائر فاکس کی نائٹ بلڈز میں جانچ کے آغاز کے بارے میں منسوخ شدہ سرٹیفکیٹس کا پتہ لگانے کے لیے ایک نیا طریقہ کار - . CRLite آپ کو صارف کے سسٹم پر میزبان ڈیٹا بیس کے خلاف مؤثر سرٹیفکیٹ منسوخی کی جانچ کو منظم کرنے کی اجازت دیتا ہے۔ موزیلا کا CRLite نفاذ مفت MPL 2.0 لائسنس کے تحت۔ ڈیٹا بیس اور سرور کے اجزاء بنانے کا کوڈ لکھا ہوا ہے۔ اور جاؤ. ڈیٹا بیس سے ڈیٹا پڑھنے کے لیے فائر فاکس میں کلائنٹ کے حصے شامل کیے گئے۔ زنگ آلود زبان میں
پروٹوکول کی بنیاد پر بیرونی خدمات کا استعمال کرتے ہوئے سرٹیفکیٹ کی توثیق جو اب بھی استعمال کی جاتی ہے۔ (آن لائن سرٹیفکیٹ اسٹیٹس پروٹوکول) کو نیٹ ورک تک رسائی کی ضمانت کی ضرورت ہوتی ہے، جس سے درخواست کی کارروائی میں نمایاں تاخیر ہوتی ہے (اوسطاً 350ms) اور رازداری کو یقینی بنانے میں دشواری ہوتی ہے (درخواستوں کا جواب دینے والے OCSP سرور مخصوص سرٹیفکیٹس کے بارے میں معلومات حاصل کرتے ہیں، جس کا استعمال یہ فیصلہ کرنے کے لیے کیا جا سکتا ہے کہ آیا وہ سائٹیں جو صارف کھولتا ہے)۔ فہرستوں کے خلاف مقامی چیکنگ کا بھی امکان ہے۔ (سرٹیفکیٹ منسوخی کی فہرست)، لیکن اس طریقہ کار کا نقصان ڈاؤن لوڈ کردہ ڈیٹا کا بہت بڑا ہونا ہے - فی الحال منسوخ شدہ سرٹیفکیٹس کا ڈیٹا بیس تقریباً 300 MB پر مشتمل ہے اور اس کی ترقی جاری ہے۔
سرٹیفیکیشن حکام کی طرف سے سمجھوتہ اور منسوخ کیے گئے سرٹیفکیٹس کو بلاک کرنے کے لیے، Firefox نے 2015 سے مرکزی بلیک لسٹ کا استعمال کیا ہے۔ کال ٹو سروس کے ساتھ مل کر ممکنہ بدنیتی پر مبنی سرگرمی کی نشاندہی کرنے کے لیے۔ OneCRL، جیسے کروم میں، ایک انٹرمیڈیٹ لنک کے طور پر کام کرتا ہے جو سرٹیفیکیشن حکام سے CRL فہرستوں کو جمع کرتا ہے اور منسوخ شدہ سرٹیفکیٹس کو چیک کرنے کے لیے ایک واحد مرکزی OCSP سروس فراہم کرتا ہے، جس سے یہ ممکن ہو جاتا ہے کہ براہ راست سرٹیفیکیشن حکام کو درخواستیں نہ بھیجیں۔ آن لائن سرٹیفکیٹ کی توثیق کی خدمت کی وشوسنییتا کو بہتر بنانے کے لیے کافی کام کرنے کے باوجود، ٹیلی میٹری ڈیٹا سے پتہ چلتا ہے کہ 7% سے زیادہ OCSP وقت ختم کرنے کی درخواست کرتے ہیں (کچھ سال پہلے یہ تعداد 15% تھی)۔
پہلے سے طے شدہ طور پر، اگر OCSP کے ذریعے تصدیق کرنا ناممکن ہے، تو براؤزر سرٹیفکیٹ کو درست سمجھتا ہے۔ نیٹ ورک کے مسائل اور اندرونی نیٹ ورکس پر پابندیوں کی وجہ سے سروس دستیاب نہیں ہو سکتی ہے، یا حملہ آوروں کے ذریعے بلاک کر دی گئی ہے - MITM حملے کے دوران OCSP چیک کو نظرانداز کرنے کے لیے، بس چیک سروس تک رسائی کو روک دیں۔ جزوی طور پر اس طرح کے حملوں کو روکنے کے لئے، ایک تکنیک کو لاگو کیا گیا ہے ، جو آپ کو OCSP رسائی کی غلطی یا OCSP کی عدم دستیابی کو سرٹیفکیٹ کے ساتھ ایک مسئلہ کے طور پر علاج کرنے کی اجازت دیتا ہے، لیکن یہ خصوصیت اختیاری ہے اور اس کے لیے سرٹیفکیٹ کی خصوصی رجسٹریشن کی ضرورت ہے۔
CRLite آپ کو تمام منسوخ شدہ سرٹیفکیٹس کے بارے میں مکمل معلومات کو آسانی سے اپ ڈیٹ کردہ ڈھانچے میں جمع کرنے کی اجازت دیتا ہے، جس کا سائز صرف 1 MB ہے، جو کلائنٹ کی طرف ایک مکمل CRL ڈیٹا بیس کو ذخیرہ کرنا ممکن بناتا ہے۔
براؤزر منسوخ شدہ سرٹیفکیٹس کے بارے میں ڈیٹا کی اپنی کاپی کو روزانہ مطابقت پذیر کر سکے گا، اور یہ ڈیٹا بیس کسی بھی حالت میں دستیاب ہوگا۔
CRLite سے معلومات کو یکجا کرتا ہے۔ ، تمام جاری کردہ اور منسوخ شدہ سرٹیفکیٹس کا ایک عوامی لاگ، اور انٹرنیٹ پر سرٹیفکیٹ سکین کرنے کے نتائج (سرٹیفیکیشن حکام کی مختلف CRL فہرستیں جمع کی جاتی ہیں اور تمام معلوم سرٹیفکیٹس کے بارے میں معلومات جمع کی جاتی ہیں)۔ کاسکیڈنگ کا استعمال کرتے ہوئے ڈیٹا کو پیک کیا جاتا ہے۔ ، ایک امکانی ڈھانچہ جو گمشدہ عنصر کی غلط کھوج کی اجازت دیتا ہے، لیکن موجودہ عنصر کو چھوڑ دیتا ہے (یعنی، ایک خاص امکان کے ساتھ، درست سرٹیفکیٹ کے لیے غلط مثبت ممکن ہے، لیکن منسوخ شدہ سرٹیفکیٹس کی شناخت کی ضمانت دی جاتی ہے)۔
غلط مثبت کو ختم کرنے کے لیے، CRLite نے اضافی اصلاحی فلٹر لیولز متعارف کرائے ہیں۔ ڈھانچہ تیار کرنے کے بعد، تمام سورس ریکارڈز کو تلاش کیا جاتا ہے اور کسی بھی غلط مثبت کی نشاندہی کی جاتی ہے۔ اس چیک کے نتائج کی بنیاد پر، ایک اضافی ڈھانچہ تشکیل دیا جاتا ہے، جو پہلے والے پر جھک جاتا ہے اور نتیجے میں آنے والے غلط مثبت کو درست کرتا ہے۔ آپریشن کو اس وقت تک دہرایا جاتا ہے جب تک کہ کنٹرول چیک کے دوران غلط مثبتات مکمل طور پر ختم نہ ہوجائیں۔ عام طور پر، تمام ڈیٹا کو مکمل طور پر کور کرنے کے لیے 7-10 پرتیں بنانا کافی ہے۔ چونکہ ڈیٹا بیس کی حالت، متواتر مطابقت پذیری کی وجہ سے، CRL کی موجودہ حالت سے تھوڑی پیچھے رہ جاتی ہے، CRLite ڈیٹا بیس کی آخری اپ ڈیٹ کے بعد جاری کردہ نئے سرٹیفکیٹس کی جانچ OCSP پروٹوکول کا استعمال کرتے ہوئے کی جاتی ہے، بشمول (کسی سرٹیفیکیشن اتھارٹی کے ذریعہ تصدیق شدہ OCSP ردعمل TLS کنکشن پر بات چیت کرتے وقت سائٹ کو پیش کرنے والے سرور کے ذریعہ منتقل کیا جاتا ہے)۔
بلوم فلٹرز کا استعمال کرتے ہوئے، WebPKI سے معلومات کا دسمبر کا ٹکڑا، جس میں 100 ملین فعال سرٹیفکیٹس اور 750 ہزار منسوخ شدہ سرٹیفکیٹس شامل ہیں، 1.3 MB سائز کے ڈھانچے میں پیک کیے جانے کے قابل تھے۔ ساخت کی تیاری کا عمل کافی وسائل پر مشتمل ہے، لیکن یہ موزیلا سرور پر انجام دیا جاتا ہے اور صارف کو ایک ریڈی میڈ اپ ڈیٹ دیا جاتا ہے۔ مثال کے طور پر، بائنری شکل میں، جنریشن کے دوران استعمال ہونے والے سورس ڈیٹا کے لیے ریڈیس ڈی بی ایم ایس میں ذخیرہ ہونے پر تقریباً 16 جی بی میموری کی ضرورت ہوتی ہے، اور ہیکساڈیسیمل شکل میں، تمام سرٹیفکیٹ سیریل نمبرز کا ڈمپ تقریباً 6.7 جی بی لیتا ہے۔ تمام منسوخ شدہ اور فعال سرٹیفکیٹس کو جمع کرنے کے عمل میں تقریباً 40 منٹ لگتے ہیں، اور بلوم فلٹر پر مبنی ایک پیکڈ ڈھانچہ تیار کرنے کے عمل میں مزید 20 منٹ لگتے ہیں۔
موزیلا فی الحال اس بات کو یقینی بناتا ہے کہ CRLite ڈیٹا بیس کو دن میں چار بار اپ ڈیٹ کیا جاتا ہے (سبھی اپ ڈیٹس کلائنٹس کو نہیں پہنچائی جاتی ہیں)۔ ڈیلٹا اپ ڈیٹس کی جنریشن ابھی تک لاگو نہیں ہوئی ہے - bsdiff4 کا استعمال، ریلیز کے لیے ڈیلٹا اپ ڈیٹس بنانے کے لیے استعمال کیا جاتا ہے، CRLite کے لیے مناسب کارکردگی فراہم نہیں کرتا ہے اور اپ ڈیٹس غیر معقول حد تک بڑی ہیں۔ اس خرابی کو دور کرنے کے لیے، غیر ضروری تعمیر نو اور تہوں کو حذف کرنے کے لیے اسٹوریج ڈھانچے کی شکل کو دوبارہ کام کرنے کا منصوبہ بنایا گیا ہے۔
CRLite فی الحال فائر فاکس میں غیر فعال موڈ میں کام کرتا ہے اور درست آپریشن کے بارے میں اعداد و شمار جمع کرنے کے لیے OCSP کے متوازی طور پر استعمال ہوتا ہے۔ CRLite کو مین اسکین موڈ میں تبدیل کیا جا سکتا ہے؛ ایسا کرنے کے لیے، آپ کو پیرامیٹر security.pki.crlite_mode = 2 کو about:config میں سیٹ کرنا ہوگا۔
ماخذ: opennet.ru