CRLite, inneal ùr Mozilla airson dearbhadh teisteanas TLS

Suaicheantas Firefox

O chionn ghoirid Dh'ainmich Mozilla gun deach inneal lorg teisteanais ùr a chuir air bhog cùl-ghairm ris an canar "CRLite" agus a lorgar anns na dreachan oidhche de Firefox. An dòigh ùr seo a ’ceadachadh dearbhadh a chuir air dòigh cùl-ghairm teisteanas èifeachdach an aghaidh stòr-dàta air aoigheachd air siostam neach-cleachdaidh.

Chaidh dearbhadh an teisteanais a chleachdadh gu ruige seo le cleachdadh sheirbheisean taobh a-muigh stèidhichte Anns a ’phròtacal OCSP (Pròtacal Inbhe Teisteanas Air-loidhne) feumach air ruigsinneachd cinnteach air an lìonra, a tha a ’leantainn gu dàil follaiseach ann a bhith a’ giullachd an iarrtais (gu cuibheasach 350 ms) agus aig a bheil cùisean dìomhaireachd (bidh luchd-frithealaidh a ’freagairt iarrtasan OCSP a’ faighinn fiosrachadh mu theisteanasan sònraichte, a dh'fhaodar a chleachdadh gus breithneachadh dè na làraich a tha neach-cleachdaidh a ’fosgladh).

Cuideachd tha comas ann dearbhadh ionadail an aghaidh CRL (Liosta cùl-ghairm teisteanais), ach is e ana-cothrom an dòigh seo meud mòr an dàta a chaidh a luchdachadh sìos: An-dràsta tha stòr-dàta cùl-ghairm teisteanasan a ’gabhail a-steach timcheall air 300 MB agus tha am fàs a’ leantainn.

Tha Firefox air a bhith a ’cleachdadh liosta dhubh meadhanaichte OneCRL bho 2015 gus casg a chuir air teisteanasan a chaidh a chuir an cunnart agus a chùl-ghairm le ùghdarrasan teisteanais còmhla ri ruigsinneachd air seirbheis brobhsaidh sàbhailte Google gus gnìomhachd droch-rùnach a dhearbhadh.

OneCRL, mar CRLSets ann an Chrome, ag obair mar cheangal eadar-mheadhanach a bhios a ’cruinneachadh liostaichean CRL de dh’ ùghdarrasan teisteanais agus a ’toirt seachad aon sheirbheis meadhanaichte OCSP gus dearbhadh teisteanasan a chaidh an toirt air ais, ga dhèanamh comasach gun a bhith a’ cur iarrtasan gu dìreach gu ùghdarrasan teisteanais.

Default, mura h-urrainnear dearbhadh tro OCSP, tha am brabhsair den bheachd gu bheil an teisteanas dligheach. San dòigh seo mura h-eil an t-seirbheis ri fhaighinn air sgàth duilgheadasan lìonra agus cuingealachaidhean lìonra a-staigh no gum faod luchd-ionnsaigh casg a chuir air rè ionnsaigh MITM. Gus ionnsaighean mar sin a sheachnadh, tha an innleachd Must-Staple air a bhuileachadh, a leigeas le mearachd ruigsinneachd OCSP no ruigsinneachd OCSP a bhith air a mhìneachadh mar dhuilgheadas leis an teisteanas, ach tha am feart seo roghainneil agus feumar clàradh sònraichte den teisteanas.

Mu CRLite

Leigidh CRLite leat fiosrachadh iomlan a thoirt a-steach mu na teisteanasan uile a chaidh an toirt air ais ann an structar a tha furasta ath-nuadhachadh dìreach 1 MB, ga dhèanamh comasach an stòr-dàta CRL gu lèir a stòradh air taobh an neach-dèiligidh. Bidh am brabhsair comasach air a leth-bhreac den dàta anns na teisteanasan a chaidh a chùl-ghairm a shioncronachadh gach latha agus bidh an stòr-dàta seo ri fhaighinn fo chumhachan sam bith.

Bidh CRLite a ’cothlamadh fiosrachadh bho Transparency Teisteanas, an clàr poblach de gach teisteanas a chaidh a thoirt seachad agus a chùl-ghairm agus toraidhean scanadh teisteanasan eadar-lìn (tha diofar liostaichean CRL de ionadan teisteanais air an cruinneachadh agus tha fiosrachadh mu na teisteanasan aithnichte uile air an cur ris).

Tha dàta air a phacadh le bhith a ’cleachdadh sìoltachain Bloom, structar dearbhaidh a leigeas le dearbhadh meallta a dhèanamh air an rud a tha a dhìth, ach a tha a ’dùnadh a-mach dearmad air nì a tha ann mu thràth (is e sin, le cuid de choltachd, tha e comasach gun tèid teisteanasan meallta a dhearbhadh airson teisteanas dligheach, ach tha cinnt ann gun tèid teisteanasan a chaidh an toirt air ais a lorg).

Gus cuir às do rabhaidhean meallta, thug CRLite a-steach ìrean sìoltachaidh ceartachaidh a bharrachd. Às deidh an structar a thogail, tha na clàran stòr uile air an liostadh agus lorgar rabhaidhean meallta.

Stèidhichte air toraidhean an dearbhaidh seo, tha structar a bharrachd air a chruthachadh a bhios a ’sgaoileadh thairis air a’ chiad fhear agus a ’ceartachadh rabhaidhean meallta sam bith a tha air nochdadh. Tha an obrachadh a-rithist gus am bi nithean ceàrr air an dùnadh a-mach gu tur aig àm dearbhaidh.

Mar as triceal, gus an dàta gu lèir a chòmhdach gu tur, tha cruthachadh 7-10 sreathan gu leòr. Leis gu bheil staid an stòr-dàta mar thoradh air sioncronadh bho àm gu àm beagan air cùl staid làithreach an CRL, thèid dearbhadh teisteanasan ùra a thoirt seachad às deidh an ùrachadh mu dheireadh air stòr-dàta CRLite a ’cleachdadh a’ phròtacal OCSP, a ’toirt a-steach cleachdadh an dòigh stàbaill OCSP. .

Tha buileachadh Mozilla air CRLite air a leigeil ma sgaoil fon chead MPL 2.0 an-asgaidh. Tha an còd gus an stòr-dàta a ghineadh agus na pàirtean frithealaiche sgrìobhte ann am Python agus Go. Tha na pàirtean teachdaiche a chaidh a chur ri Firefox gus dàta bhon stòr-dàta a leughadh air an ullachadh anns a ’chànan Rust.

Tobar: https://blog.mozilla.org/


Tha susbaint an artaigil a ’cumail ri na prionnsapalan againn de moraltachd deasachaidh. Gus aithris a dhèanamh air mearachd cliog an seo.

Bi a 'chiad fhear a thog beachd

Fàg do bheachd

Seòladh-d cha tèid fhoillseachadh.

*

*

  1. Uallach airson an dàta: Miguel Ángel Gatón
  2. Adhbhar an dàta: Smachd air SPAM, riaghladh bheachdan.
  3. Dìleab: Do chead
  4. Conaltradh an dàta: Cha tèid an dàta a thoirt do threas phàrtaidhean ach a-mhàin fo dhleastanas laghail.
  5. Stòradh dàta: Stòr-dàta air a chumail le Occentus Networks (EU)
  6. Còraichean: Aig àm sam bith faodaidh tu am fiosrachadh agad a chuingealachadh, fhaighinn air ais agus a dhubhadh às.