Mozilla kompaniyasi
Hali ham foydalanilayotgan protokol asosida tashqi xizmatlardan foydalangan holda sertifikatni tekshirish
Sertifikatlashtirish idoralari tomonidan buzilgan va bekor qilingan sertifikatlarni bloklash uchun Firefox 2015 yildan beri markazlashtirilgan qora roʻyxatdan foydalanmoqda.
Odatiy bo'lib, agar OCSP orqali tekshirishning iloji bo'lmasa, brauzer sertifikatni haqiqiy deb hisoblaydi. Tarmoq muammolari va ichki tarmoqlardagi cheklovlar tufayli xizmat ishlamay qolishi yoki tajovuzkorlar tomonidan bloklangan bo'lishi mumkin - MITM hujumi paytida OCSP tekshiruvini chetlab o'tish uchun tekshirish xizmatiga kirishni bloklash kifoya. Bunday hujumlarning qisman oldini olish uchun texnika joriy etildi
CRLite barcha bekor qilingan sertifikatlar haqidagi to'liq ma'lumotlarni osongina yangilanadigan tuzilmaga birlashtirish imkonini beradi, hajmi atigi 1 MB, bu esa mijoz tomonida to'liq CRL ma'lumotlar bazasini saqlash imkonini beradi.
Brauzer har kuni bekor qilingan sertifikatlar haqidagi ma'lumotlar nusxasini sinxronlashtirishi mumkin va bu ma'lumotlar bazasi har qanday sharoitda mavjud bo'ladi.
CRLite dan ma'lumotlarni birlashtiradi
Noto'g'ri pozitivlarni bartaraf etish uchun CRLite qo'shimcha tuzatuvchi filtr darajalarini joriy qildi. Strukturani yaratgandan so'ng, barcha manba yozuvlari qidiriladi va har qanday noto'g'ri pozitivlar aniqlanadi. Ushbu tekshirish natijalariga ko'ra, qo'shimcha tuzilma yaratiladi, u birinchisiga kaskadlanadi va natijada noto'g'ri musbatlarni tuzatadi. Nazorat tekshiruvi paytida noto'g'ri musbatlar to'liq bartaraf etilmaguncha operatsiya takrorlanadi. Odatda, barcha ma'lumotlarni to'liq qoplash uchun 7-10 qatlamni yaratish kifoya. Ma'lumotlar bazasining holati davriy sinxronizatsiya tufayli CRL ning hozirgi holatidan biroz orqada qolganligi sababli, CRLite ma'lumotlar bazasi oxirgi yangilanganidan keyin chiqarilgan yangi sertifikatlarni tekshirish OCSP protokoli, shu jumladan OCSP protokoli yordamida amalga oshiriladi.
Bloom filtrlari yordamida 100 million faol sertifikatlar va 750 ming bekor qilingan sertifikatlarni o'z ichiga olgan WebPKI ma'lumotlarining dekabr bo'lagi 1.3 MB hajmdagi tuzilishga to'planishi mumkin edi. Strukturani yaratish jarayoni juda ko'p resurs talab qiladi, lekin u Mozilla serverida amalga oshiriladi va foydalanuvchiga tayyor yangilanish beriladi. Misol uchun, ikkilik shaklda, ishlab chiqarishda foydalaniladigan manba ma'lumotlari Redis DBMSda saqlanganda taxminan 16 Gb xotirani talab qiladi va o'n oltilik shaklda barcha sertifikat seriya raqamlari 6.7 Gb ni tashkil qiladi. Barcha bekor qilingan va faol sertifikatlarni jamlash jarayoni taxminan 40 daqiqa davom etadi va Bloom filtri asosida qadoqlangan tuzilmani yaratish jarayoni yana 20 daqiqa davom etadi.
Mozilla hozirda CRLite ma'lumotlar bazasi kuniga to'rt marta yangilanishini ta'minlaydi (barcha yangilanishlar mijozlarga yetkazilmaydi). Delta yangilanishlarini yaratish hali amalga oshirilmagan - relizlar uchun delta yangilanishlarini yaratish uchun foydalaniladigan bsdiff4 dan foydalanish CRLite uchun etarli samaradorlikni ta'minlamaydi va yangilanishlar asossiz darajada katta. Ushbu kamchilikni bartaraf etish uchun qatlamlarni keraksiz qayta qurish va o'chirishni bartaraf etish uchun saqlash strukturasi formatini qayta ishlash rejalashtirilgan.
CRLite hozirda Firefox-da passiv rejimda ishlaydi va to'g'ri ishlash haqida statistik ma'lumotlarni to'plash uchun OCSP bilan parallel ravishda ishlatiladi. CRLite asosiy skanerlash rejimiga o'tkazilishi mumkin, buning uchun siz about:config ichida security.pki.crlite_mode = 2 parametrini o'rnatishingiz kerak.
Manba: opennet.ru