Recientemente मोज़िला ने एक नए सर्टिफिकेट डिटेक्शन मैकेनिज्म के लॉन्च की घोषणा की निरसन जिसे "CRLite" कहा जाता है और जो फ़ायरफ़ॉक्स के रात के संस्करणों में पाया जाता है। यह नया तंत्र एक सत्यापन व्यवस्थित करने की अनुमति देता है प्रभावी प्रमाणपत्र निरस्तीकरण उपयोगकर्ता के सिस्टम पर होस्ट किए गए डेटाबेस के खिलाफ।
अब तक उपयोग किए गए प्रमाणपत्र सत्यापन बाहरी सेवाओं के उपयोग के आधार पर OCSP प्रोटोकॉल में (ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल) नेटवर्क तक पहुँच की गारंटी की आवश्यकता है, जो अनुरोध (औसतन 350 एमएस पर) को संसाधित करने में ध्यान देने योग्य देरी की ओर जाता है और इसमें गोपनीयता की समस्या होती है (OCSP के अनुरोधों का जवाब देने वाले सर्वर को विशिष्ट प्रमाणपत्रों के बारे में जानकारी मिलती है, जिसका उपयोग उपयोगकर्ता को कौन सी साइटों को जज करने के लिए किया जा सकता है)।
भी सीआरएल के खिलाफ स्थानीय सत्यापन की संभावना है (प्रमाणपत्र निरस्तीकरण सूची), लेकिन इस विधि का नुकसान डाउनलोड किए गए डेटा का बड़ा आकार है: वर्तमान में प्रमाणपत्र निरस्तीकरण डेटाबेस लगभग 300 एमबी का है और इसकी वृद्धि जारी है।
फ़ायरफ़ॉक्स केंद्रीकृत OneCRL ब्लैकलिस्ट का उपयोग कर रहा है संभव दुर्भावनापूर्ण गतिविधि का निर्धारण करने के लिए Google की सुरक्षित ब्राउज़िंग सेवा तक पहुँच के साथ प्रमाणन अधिकारियों द्वारा प्रमाणित और निरस्त प्रमाण पत्र को ब्लॉक करने के लिए 2015 के बाद से।
Chrome में CRLSets की तरह OneCRL, एक मध्यवर्ती लिंक के रूप में कार्य करता है जो प्रमाणपत्र अधिकारियों के सीआरएल सूचियों को एकत्र करता है और निरस्त प्रमाण पत्र को सत्यापित करने के लिए एक एकल केंद्रीकृत OCSP सेवा प्रदान करता है, जिससे यह संभव है कि प्रमाणपत्र अधिकारियों को सीधे अनुरोध न भेजें।
चूक, यदि OCSP के माध्यम से सत्यापित करना संभव नहीं है, तो ब्राउज़र प्रमाण पत्र को वैध मानता है। इस तरह से यदि नेटवर्क समस्याओं के कारण सेवा उपलब्ध नहीं है और आंतरिक नेटवर्क प्रतिबंध या कि इसे MITM हमले के दौरान हमलावरों द्वारा अवरुद्ध किया जा सकता है। इस तरह के हमलों से बचने के लिए, मस्ट-स्टेपल तकनीक लागू की गई है, जो OCSP एक्सेस त्रुटि या OCSP की अयोग्यता को प्रमाण पत्र के साथ एक समस्या के रूप में व्याख्या करने की अनुमति देता है, लेकिन यह सुविधा वैकल्पिक है और प्रमाण पत्र के विशेष पंजीकरण की आवश्यकता है।
CRLite के बारे में
CRLite आपको सभी निरस्त प्रमाणपत्रों के बारे में पूरी जानकारी लाने की अनुमति देता है एक आसानी से नवीकरणीय संरचना में केवल 1 एमबी, पूरे सीआरएल डेटाबेस को स्टोर करना संभव बनाता है क्लाइंट की तरफ। ब्राउज़र दैनिक आधार पर निरस्त प्रमाण पत्र में डेटा की अपनी प्रतिलिपि को सिंक्रनाइज़ करने में सक्षम होगा और यह डेटाबेस किसी भी स्थिति में उपलब्ध होगा।
CRLite प्रमाणपत्र पारदर्शिता से जानकारी जोड़ती है, सभी जारी किए गए और निरस्त किए गए प्रमाणपत्रों और इंटरनेट प्रमाणपत्र स्कैनिंग के परिणामों का सार्वजनिक रिकॉर्ड (प्रमाणीकरण केंद्रों की विभिन्न CRL सूचियां एकत्र की जाती हैं और सभी ज्ञात प्रमाणपत्रों के बारे में जानकारी जोड़ी जाती है)।
ब्लूम फिल्टर का उपयोग करके डेटा पैक किया जाता हैएक संभाव्य संरचना जो अनुपलब्ध वस्तु के गलत निर्धारण की अनुमति देती है, लेकिन एक मौजूदा वस्तु की कमी को छोड़ देती है (अर्थात, कुछ संभाव्यता के साथ, वैध प्रमाणपत्र के लिए गलत सकारात्मकता संभव है, लेकिन निरस्त प्रमाण पत्र का पता लगाने की गारंटी है)।
झूठे अलार्म को खत्म करने के लिए, CRLite ने अतिरिक्त सुधारात्मक फिल्टर स्तरों की शुरुआत की। संरचना के निर्माण के बाद, सभी स्रोत रिकॉर्ड सूचीबद्ध होते हैं और झूठे अलार्म का पता लगाया जाता है।
इस सत्यापन के परिणामों के आधार पर, एक अतिरिक्त संरचना बनाई जाती है जो पहले एक से अधिक कैस्केड करती है और किसी भी गलत अलार्म को उत्पन्न करती है। सत्यापन के दौरान झूठी सकारात्मक पूरी तरह से बाहर किए जाने तक ऑपरेशन दोहराया जाता है।
आमतौर परअल, सभी डेटा को पूरी तरह से कवर करने के लिए, 7-10 परतें बनाना पर्याप्त है। चूंकि समय-समय पर सिंक्रनाइज़ेशन के कारण डेटाबेस की स्थिति CRL की वर्तमान स्थिति से थोड़ा पीछे है, CRLite डेटाबेस के अंतिम अपडेट के बाद जारी किए गए नए प्रमाणपत्रों का सत्यापन OCSP प्रोटोकॉल का उपयोग करके किया जाता है, जिसमें OCS स्टेपलिंग तकनीक का उपयोग भी शामिल है। ।
मोज़िला CRLite के कार्यान्वयन मुक्त MPL 2.0 लाइसेंस के तहत जारी किया गया है। डेटाबेस और सर्वर घटकों को उत्पन्न करने के लिए कोड पायथन और गो में लिखे गए हैं। डेटाबेस से डेटा पढ़ने के लिए फ़ायरफ़ॉक्स में जोड़े गए ग्राहक भागों को जंग भाषा में तैयार किया जाता है।
Fuente: https://blog.mozilla.org/