Ile-iṣẹ Mozilla nipa ibẹrẹ idanwo ni awọn ile-iṣẹ Firefox ni alẹ ni ọna tuntun fun wiwa awọn iwe-ẹri ti o fagile - . CRLite ngbanilaaye lati ṣeto ṣiṣe ayẹwo ifagile ijẹrisi ti o munadoko si ibi ipamọ data ti o gbalejo lori eto olumulo. Mozilla's CRLite imuse labẹ free MPL 2.0 iwe-ašẹ. Awọn koodu fun ti ipilẹṣẹ database ati olupin irinše ti wa ni kikọ sinu ati Lọ. Awọn ẹya alabara ti a ṣafikun si Firefox fun kika data lati ibi ipamọ data ni ede ipata.
Ijẹrisi ijẹrisi nipa lilo awọn iṣẹ ita ti o da lori ilana ti o tun lo (Ilana Ipo ijẹrisi ori ayelujara) nilo iraye si nẹtiwọọki ti o ni idaniloju, o yori si idaduro pataki ni sisẹ ibeere (350ms ni apapọ) ati pe o ni awọn iṣoro pẹlu idaniloju asiri (awọn olupin OCSP ti n dahun si awọn ibeere gba alaye nipa awọn iwe-ẹri kan pato, eyiti o le ṣee lo lati ṣe idajọ boya kini kini kini. awọn aaye ti olumulo ṣii). Tun wa ni seese ti agbegbe yiyewo lodi si awọn akojọ (Akojọ Ifagile Iwe-ẹri), ṣugbọn aila-nfani ti ọna yii jẹ iwọn ti o tobi pupọ ti data ti o gba lati ayelujara - lọwọlọwọ data data ti awọn iwe-ẹri ti fagile wa ni bii 300 MB ati idagbasoke rẹ tẹsiwaju.
Lati dènà awọn iwe-ẹri ti o ti gbogun ati fifagilee nipasẹ awọn alaṣẹ iwe-ẹri, Firefox ti lo atokọ dudu ti aarin lati ọdun 2015 ni apapo pẹlu ipe si iṣẹ lati ṣe idanimọ iṣẹ irira ti o ṣeeṣe. OneCRL, bii ni Chrome, ṣe bi ọna asopọ agbedemeji ti o ṣajọpọ awọn atokọ CRL lati awọn alaṣẹ iwe-ẹri ati pese iṣẹ OCSP aarin kan ṣoṣo fun ṣayẹwo awọn iwe-ẹri ti o fagile, ti o jẹ ki o ṣee ṣe lati firanṣẹ awọn ibeere taara si awọn alaṣẹ iwe-ẹri. Laibikita iṣẹ pupọ lati ṣe ilọsiwaju igbẹkẹle ti iṣẹ ijẹrisi lori ayelujara, data telemetry fihan pe diẹ sii ju 7% ti awọn ibeere OCSP ni akoko to (ni ọdun diẹ sẹhin nọmba yii jẹ 15%).
Nipa aiyipada, ti ko ba ṣee ṣe lati jẹrisi nipasẹ OCSP, ẹrọ aṣawakiri naa ka ijẹrisi naa wulo. Iṣẹ naa le ma si nitori awọn iṣoro nẹtiwọọki ati awọn ihamọ lori awọn nẹtiwọọki inu, tabi dina nipasẹ awọn olukolu – lati fori ayẹwo OCSP lakoko ikọlu MITM, nirọrun dènà iraye si iṣẹ ayẹwo. Ni apakan lati ṣe idiwọ iru awọn ikọlu, ilana kan ti ṣe imuse , eyiti o fun ọ laaye lati tọju aṣiṣe iwọle OCSP tabi aini wiwa OCSP bi iṣoro pẹlu ijẹrisi naa, ṣugbọn ẹya yii jẹ iyan ati nilo iforukọsilẹ pataki ti ijẹrisi naa.
CRLite ngbanilaaye lati ṣafikun alaye pipe nipa gbogbo awọn iwe-ẹri ti o fagile sinu eto imudojuiwọn irọrun, iwọn 1 MB nikan, eyiti o jẹ ki o ṣee ṣe lati ṣafipamọ data data CRL pipe ni ẹgbẹ alabara.
Ẹrọ aṣawakiri naa yoo ni anfani lati mu ẹda data rẹ ṣiṣẹpọ nipa awọn iwe-ẹri ifasilẹ ni ojoojumọ, ati pe data data yii yoo wa labẹ awọn ipo eyikeyi.
CRLite daapọ alaye lati , Iwe akọọlẹ gbogbo eniyan ti gbogbo awọn iwe-ẹri ti o funni ati ti fagile, ati awọn abajade ti awọn iwe-ẹri ọlọjẹ lori Intanẹẹti (orisirisi awọn atokọ CRL ti awọn alaṣẹ iwe-ẹri ni a gba ati alaye nipa gbogbo awọn iwe-ẹri ti a mọ ni apapọ). Data ti wa ni akopọ nipa lilo cascading , A iṣeeṣe be ti o fun laaye a eke erin kan ti a ti sonu ano, ṣugbọn ifesi awọn yiyọ kuro ti ohun ti wa tẹlẹ ano (ie, pẹlu kan awọn iṣeeṣe, a eke rere fun kan ti o tọ ijẹrisi jẹ ṣee ṣe, ṣugbọn fagilee awọn iwe-ẹri ti wa ni ẹri a mọ).
Lati yọkuro awọn idaniloju eke, CRLite ti ṣafihan awọn ipele àlẹmọ atunṣe ni afikun. Lẹhin ti ipilẹṣẹ eto, gbogbo awọn igbasilẹ orisun ni a wa ati pe eyikeyi awọn idaniloju eke jẹ idanimọ. Da lori awọn abajade ti ayẹwo yii, a ṣẹda eto afikun, eyiti o fi sinu ọkan akọkọ ati pe o ṣe atunṣe awọn abajade iro ti abajade. Iṣẹ naa tun ṣe titi awọn idaniloju eke lakoko iṣakoso iṣakoso yoo parẹ patapata. Ni deede, ṣiṣẹda awọn ipele 7-10 to lati bo gbogbo data patapata. Niwọn igba ti ipo data data, nitori imuṣiṣẹpọ igbakọọkan, jẹ aisun diẹ lẹhin ipo lọwọlọwọ ti CRL, ṣayẹwo awọn iwe-ẹri tuntun ti a fun lẹhin imudojuiwọn ti o kẹhin ti data data CRLite ni lilo ilana OCSP, pẹlu lilo (Idahun OCSP ti ifọwọsi nipasẹ aṣẹ iwe-ẹri jẹ gbigbejade nipasẹ olupin ti n ṣiṣẹ aaye naa nigbati o ba n jiroro asopọ TLS kan).
Lilo awọn asẹ Bloom, bibẹ pẹlẹbẹ Kejìlá ti alaye lati WebPKI, ti o bo awọn iwe-ẹri 100 miliọnu ti nṣiṣe lọwọ ati awọn iwe-ẹri 750 ẹgbẹrun ti fagile, ni anfani lati kojọpọ sinu eto ti 1.3 MB ni iwọn. Ilana iran igbekalẹ jẹ ohun elo to lekoko, ṣugbọn o ṣe lori olupin Mozilla ati pe olumulo naa ni imudojuiwọn ti o ti ṣetan. Fun apẹẹrẹ, ni fọọmu alakomeji, data orisun ti a lo lakoko iran nilo nipa 16 GB ti iranti nigbati o fipamọ sinu Redis DBMS, ati ni fọọmu hexadecimal, idalẹnu gbogbo awọn nọmba ni tẹlentẹle ijẹrisi gba to 6.7 GB. Ilana ti iṣakojọpọ gbogbo awọn iwe-ẹri ti o fagile ati ti nṣiṣe lọwọ gba to iṣẹju 40, ati ilana ti ipilẹṣẹ igbekalẹ ti o da lori àlẹmọ Bloom gba iṣẹju 20 miiran.
Mozilla lọwọlọwọ ṣe idaniloju pe data data CRLite ti ni imudojuiwọn ni igba mẹrin lojumọ (kii ṣe gbogbo awọn imudojuiwọn ni a fi jiṣẹ si awọn alabara). Ipilẹṣẹ awọn imudojuiwọn delta ko tii ṣe imuse - lilo bsdiff4, ti a lo lati ṣẹda awọn imudojuiwọn delta fun awọn idasilẹ, ko pese ṣiṣe to peye fun CRLite ati pe awọn imudojuiwọn naa tobi lainidi. Lati mu imukuro yii kuro, o ti gbero lati tun ṣe ọna kika ti ọna ipamọ lati ṣe imukuro atunkọ ti ko wulo ati piparẹ awọn fẹlẹfẹlẹ.
CRLite n ṣiṣẹ lọwọlọwọ ni Firefox ni ipo palolo ati pe o lo ni afiwe pẹlu OCSP lati ṣajọpọ awọn iṣiro nipa iṣẹ ṣiṣe to pe. CRLite le yipada si ipo ọlọjẹ akọkọ; lati ṣe eyi, o nilo lati ṣeto aabo paramita.pki.crlite_mode = 2 ni nipa: konfigi.
orisun: opennet.ru