CRLite, Mozilla-ийн TLS гэрчилгээг баталгаажуулах шинэ механизм

Firefox лого

Саяхан Mozilla нь гэрчилгээ илрүүлэх шинэ механизм ажиллуулж эхэлснээ зарлав хүчингүй болгох "CRLite" гэж нэрлэдэг бөгөөд Firefox-ийн шөнийн хувилбаруудад байдаг. Энэ шинэ механизм баталгаажуулалтыг зохион байгуулах боломжийг олгодог гэрчилгээг үр дүнтэй хүчингүй болгох хэрэглэгчийн систем дээр байрлуулсан мэдээллийн сангийн эсрэг.

Өнөөг хүртэл ашигласан гэрчилгээний баталгаажуулалт гадны үйлчилгээг ашиглан суурилсан OCSP протоколд (Онлайн гэрчилгээний статусын протокол) сүлжээнд баталгаатай нэвтрэх шаардлагатай, энэ нь хүсэлтийг боловсруулахад мэдэгдэхүйц саатал үүсгэдэг (дунджаар 350 мс), нууцлалын асуудалтай байдаг (OCSP-ийн хүсэлтэд хариу өгдөг серверүүд тодорхой гэрчилгээний талаар мэдээлэл авдаг бөгөөд үүнийг хэрэглэгчид аль сайтыг нээж байгааг дүгнэхэд ашиглаж болно).

Мөн түүнчлэн CRL-ийн эсрэг орон нутгийн баталгаажуулалт хийх боломжтой (Гэрчилгээг хүчингүй болгох жагсаалт), гэхдээ энэ аргын сул тал бол татаж авсан мэдээллийн том хэмжээ юм: Одоогийн байдлаар гэрчилгээг хүчингүй болгох мэдээллийн сан нь 300 МБ эзэлдэг бөгөөд түүний өсөлт үргэлжилж байна.

Firefox нь төвлөрсөн OneCRL хар жагсаалтыг ашиглаж ирсэн 2015 оноос хойш гэрчилгээжүүлэгч байгууллагууд халдаж, хүчингүй болгосон гэрчилгээг Google-ийн аюулгүй үзэх үйлчилгээнд нэвтрэхийн хамт хор хөнөөл учруулж болзошгүй хор уршгийг хаах.

Chrome дахь CRLSets гэх мэт OneCRL, гэрчилгээний байгууллагуудын CRL жагсаалтыг нэгтгэсэн завсрын холбоос болж ажилладаг хүчингүй болгосон гэрчилгээг баталгаажуулах нэгдсэн OCSP үйлчилгээг үзүүлдэг тул гэрчилгээ олгох байгууллагуудад хүсэлт шууд илгээхгүй байх боломжийг олгодог.

Үндсэн, хэрэв OCSP-ээр баталгаажуулах боломжгүй бол хөтөч гэрчилгээг хүчин төгөлдөр гэж үздэг. Энэ замаар хэрэв сүлжээний асуудлын улмаас үйлчилгээ авах боломжгүй бол болон дотоод сүлжээний хязгаарлалт эсвэл MITM халдлагын үеэр халдагчид үүнийг хааж болно. Ийм халдлагаас зайлсхийхийн тулд, заавал байх шаардлагатай техникийг хэрэгжүүлсэн, Энэ нь OCSP хандалтын алдаа эсвэл OCSP нэвтрэх боломжгүй байдлыг гэрчилгээтэй холбоотой асуудал гэж тайлбарлах боломжийг олгодог боловч энэ шинж чанар нь заавал байх албагүй бөгөөд гэрчилгээний тусгай бүртгэлийг шаарддаг.

CRLite-ийн тухай

CRLite нь цуцлагдсан бүх гэрчилгээний талаархи бүрэн мэдээллийг авчрах боломжийг танд олгоно амархан сэргээгдэх бүтэцтэй ердөө л 1 МБ, ингэснээр CRL мэдээллийн санг бүхэлд нь хадгалах боломжтой болно үйлчлүүлэгч тал дээр. Хөтөч нь хүчингүй болсон гэрчилгээн дэх өгөгдлийнхөө хуулбарыг өдөр бүр синхрончлох боломжтой бөгөөд энэ мэдээллийн баазыг ямар ч нөхцөлд ашиглах боломжтой болно.

CRLite нь гэрчилгээний ил тод байдлын мэдээллийг нэгтгэдэг, олгосон болон хүчингүй болгосон бүх гэрчилгээнүүдийн олон нийтийн бүртгэл, интернетийн гэрчилгээний үр дүн (баталгаажуулалтын төвүүдийн янз бүрийн CRL жагсаалтыг цуглуулж, мэдэгдэж буй бүх гэрчилгээнүүдийн талаарх мэдээллийг нэмж оруулав).

Bloom шүүлтүүр ашиглан өгөгдлийг багцлана, алга болсон зүйлийг хуурамчаар тодорхойлох боломжийг олгодог боловч одоо байгаа зүйлийг орхигдуулахыг зөвшөөрдөг магадлалтай бүтэц (өөр магадлалтай тохиолдолд хүчин төгөлдөр гэрчилгээнд хуурамч эерэг зүйл гарах боломжтой боловч хүчингүй болсон гэрчилгээг илрүүлэх баталгаатай болно).

Хуурамч дохиоллыг арилгахын тулд CRLite нэмэлт шүүлтүүрийн нэмэлт түвшинг нэвтрүүлсэн. Бүтцийг барьсны дараа бүх эх сурвалжуудын жагсаалтыг гаргаж хуурамч дохиоллыг илрүүлдэг.

Энэхүү баталгаажуулалтын үр дүнд үндэслэн эхний бүтцээр давхцаж, үүссэн хуурамч дохиоллыг засаж залруулах нэмэлт бүтэц бий болгосон. Баталгаажуулах явцад хуурамч эерэг зүйлийг бүрэн хасах хүртэл үйлдлийг давтана.

Ихэвчлэнбүх өгөгдлийг бүрэн хамрахын тулд 7-10 давхаргыг бий болгоход хангалттай. Үе үе синхрончлолын улмаас өгөгдлийн сангийн байдал нь CRL-ийн өнөөгийн байдлаас бага зэрэг хоцорч байгаа тул CRLite мэдээллийн баазын сүүлчийн шинэчлэлтээс хойш гарсан шинэ гэрчилгээг баталгаажуулах ажлыг OCSP протокол, үүнд OCSP үдэгч арга техникийг ашиглана. .

Mozilla-ийн CRLite програмыг үнэгүй MPL 2.0 лицензийн дагуу гаргасан. Мэдээллийн сан үүсгэх код болон серверийн бүрэлдэхүүн хэсгүүдийг Python ба Go дээр бичсэн болно. Мэдээллийн сангаас өгөгдлийг уншихын тулд Firefox дээр нэмсэн клиент хэсгүүдийг Rust хэл дээр бэлтгэсэн болно.

Эх сурвалж: https://blog.mozilla.org/


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.