CRLite, Mozillaнын TLS сертификатын текшерүү боюнча жаңы механизми

Firefox логотиби

жакында Mozilla сертификатты аныктоонун жаңы механизми ишке киргизилгенин жарыялады жокко чыгаруу Firefoxтун түнкү версияларында кездешкен "CRLite" деп аталат. Бул жаңы механизм текшерүүнү уюштурууга мүмкүндүк берет натыйжалуу күбөлүк жокко чыгаруу колдонуучунун тутумунда жайгашкан маалымат базасына каршы.

Буга чейин колдонулган тастыктаманы текшерүү тышкы кызматтарды пайдалануу менен OCSP протоколунда (Онлайн тастыктаманын статусунун протоколу) тармакка кепилденген мүмкүнчүлүктү талап кылат, бул суроо-талапты иштеп чыгуунун кечигүүсүнө алып келет (орто эсеп менен 350 мс) жана купуялуулук маселелери (OCSP сурамдарына жооп берген серверлер белгилүү бир сертификаттар жөнүндө маалымат алат, ал колдонуучу кайсы сайттарды ачкандыгын аныктоого болот).

дагы CRLге каршы жергиликтүү текшерүү мүмкүнчүлүгү бар (Сертификатты жокко чыгаруу тизмеси), бирок бул методдун кемчилиги жүктөлгөн маалыматтардын чоңдугу: Учурда күбөлүктү жокко чыгаруу боюнча маалыматтар базасы болжол менен 300 МБ ээлейт жана анын өсүшү уланууда.

Firefox борборлоштурулган OneCRL кара тизмесин колдонуп келет 2015-жылдан баштап, сертификациялоо органдары тарабынан бузулган жана жокко чыгарылган сертификаттарды бөгөттөө, ошондой эле зыяндуу аракеттерди аныктоо үчүн Google'дун коопсуз серептөө кызматына кирүү.

Chrome'догу CRLSets сыяктуу OneCRL, күбөлүк органдарынын CRL тизмелерин бириктирген аралык шилтеме катары иштейт жана жокко чыгарылган сертификаттарды текшерүү үчүн бирдиктүү борборлоштурулган OCSP кызматын сунуштайт, бул күбөлүк органдарына түздөн-түз суроо-талаптарды жибербөөгө мүмкүндүк берет.

По умолчанию, эгер OCSP аркылуу текшерүү мүмкүн болбосо, браузер тастыктаманы жарактуу деп эсептейт. Ошентип, эгер тармак көйгөйлөрүнөн улам кызмат жеткиликтүү болбосо жана ички тармактык чектөөлөр же аны MITM чабуулу учурунда кол салуучулар тосуп койсо болот. Мындай кол салууларды болтурбоо үчүн, Must-Staple техникасы ишке ашырылат, бул OCSP кирүү катасын же OCSP жеткиликсиздигин сертификаттын көйгөйү катары чечмелөөгө мүмкүндүк берет, бирок бул функция милдеттүү эмес жана тастыктаманы атайын каттоону талап кылат.

CRLite жөнүндө

CRLite жокко чыгарылган бардык сертификаттар жөнүндө толук маалымат алып келүүгө мүмкүнчүлүк берет оңой калыбына келүүчү структурада болгону 1 МБ, бул CRL маалымат базасын толугу менен сактоого мүмкүндүк берет кардар тарабында. Браузер жокко чыгарылган сертификаттардагы маалыматтардын көчүрмөсүн күн сайын синхрондоштура алат жана бул маалыматтар базасы кандай шартта болбосун жеткиликтүү болот.

CRLite Тастыктаманын Айкындуулугунан алынган маалыматтарды бириктирет, бардык берилген жана жокко чыгарылган сертификаттардын жана Интернеттеги сертификаттарды сканерлөөнүн натыйжаларынын жалпы жазуусу (күбөлөндүрүүчү борборлордун ар кандай CRL тизмелери чогултулат жана бардык белгилүү сертификаттар жөнүндө маалымат кошулат).

Маалыматтар Bloom чыпкаларынын жардамы менен таңгакталат, жоголгон нерсени жалган аныктоого мүмкүндүк берген, бирок мурунку нерсени калтырууну жокко чыгарган (башкача айтканда, кандайдыр бир ыктымалдуулук менен, жарактуу сертификат үчүн жалган позитивдер болушу мүмкүн, бирок жокко чыгарылган сертификаттардын табылышы кепилденген).

Жалган сигнализацияларды жок кылуу үчүн, CRLite кошумча түзөтүүчү чыпкалардын деңгээлин киргизди. Түзүм курулгандан кийин, бардык булактар ​​жазылып, жалган сигналдар табылган.

Ушул текшерүүнүн натыйжалары боюнча, биринчисинин үстүнөн каскадга өткөн жана пайда болгон жалган сигналдарды оңдогон кошумча структура түзүлөт. Текшерүү учурунда жалган позитивдер толугу менен алынып салынганга чейин операция кайталанат.

Адаттабардык маалыматтарды толугу менен камтуу үчүн 7-10 катмар түзүү жетиштүү. Мезгил-мезгили менен синхрондоштурууга байланыштуу маалыматтар базасынын абалы CRLдин учурдагы абалынан бир аз артта калгандыктан, CRLite маалыматтар базасын акыркы жаңыртуудан кийин берилген жаңы сертификаттарды текшерүү OCSP протоколунун жардамы менен жүргүзүлөт, анын ичинде OCSP степлинг техникасы колдонулат. .

Mozilla компаниясынын CRLite программасы MPL 2.0 акысыз лицензиясынын негизинде чыгарылган. Маалымат базасын түзүү үчүн код жана сервер компоненттери Python жана Go тилинде жазылган. Маалымат базасынан алынган маалыматтарды окуу үчүн Firefoxко кошулган кардардын бөлүктөрү Rust тилинде даярдалган.

булагы: https://blog.mozilla.org/


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий биринчи болуп

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.