CRLite, ẹrọ tuntun ti Mozilla fun afọwọsi ijẹrisi TLS

Aami Firefox

Laipe Mozilla kede ifilọlẹ ti ẹrọ wiwa ijẹrisi tuntun fifagilee ti a pe ni "CRLite" ati eyiti o rii ni awọn ẹya alẹ ti Firefox. Ilana tuntun yii ngbanilaaye lati ṣeto ijerisi kan Fagilee ijẹrisi to munadoko lodi si ibi ipamọ data ti o gbalejo lori eto olumulo kan.

Ijẹrisi ijẹrisi ti a lo titi di isisiyi pẹlu lilo awọn iṣẹ ita ti o da Ninu ilana OCSP (Ilana Ilana Iwe-ẹri Ayelujara) nilo iraye si ẹri si nẹtiwọọki, eyiti o yori si idaduro akiyesi ni ṣiṣe ibeere naa (ni apapọ 350 ms) ati pe o ni awọn ọrọ aṣiri (awọn olupin ti n dahun si awọn ibeere OCSP gba alaye nipa awọn iwe-ẹri pato, eyiti o le lo lati ṣe idajọ iru awọn aaye ti olumulo kan ṣii).

Bakannaa iṣeeṣe ijerisi agbegbe wa si CRL (Atokọ fifagilee ijẹrisi), ṣugbọn ailagbara ti ọna yii ni iwọn nla ti data ti a gbasilẹ: Lọwọlọwọ data ifagile ijẹrisi wa lagbedemeji nipa 300 MB ati idagbasoke rẹ tẹsiwaju.

Firefox ti nlo atokọ dudu dudu OneCRL lati ọdun 2015 lati dènà awọn iwe-ẹri ti o gbogun ti a fagile nipasẹ awọn alaṣẹ ijẹrisi pẹlu iraye si iṣẹ lilọ kiri ayelujara ailewu ti Google lati pinnu iṣẹ ṣiṣe irira ti o ṣeeṣe.

OneCRL, bii CRLSets ni Chrome, ṣe bi ọna asopọ agbedemeji ti o ṣajọ awọn atokọ CRL ti awọn alaṣẹ ijẹrisi ati pe o pese iṣẹ iṣẹ OCSP kan ṣoṣo lati jẹrisi awọn iwe-ẹri ti a fagile, jẹ ki o ṣee ṣe lati ma firanṣẹ awọn ibeere taara si awọn alaṣẹ ijẹrisi.

Aiyipada, ti ko ba ṣee ṣe lati ṣayẹwo nipasẹ OCSP, aṣawakiri naa ka iwe-ẹri naa lati wulo. Ni ọna yii ti iṣẹ ko ba si nitori awọn iṣoro nẹtiwọọki ati awọn ihamọ nẹtiwọọki ti inu tabi pe o le ni idinamọ nipasẹ awọn olutọpa lakoko ikọlu MITM. Lati yago fun iru awọn ikọlu, ilana ilana gbọdọ-Staple ti wa ni imuse, eyiti ngbanilaaye aṣiṣe wiwọle OCSP tabi inaccessibility OCSP lati tumọ bi iṣoro pẹlu ijẹrisi, ṣugbọn ẹya yii jẹ aṣayan ati pe o nilo iforukọsilẹ pataki ti ijẹrisi naa.

Nipa CRLite

CRLite gba ọ laaye lati mu alaye pipe nipa gbogbo awọn iwe-ẹri ti a fagile ni ọna isọdọtun irọrun nikan 1 MB, ṣiṣe awọn ti o ṣee ṣe lati fi gbogbo CRL database lori ẹgbẹ alabara. Ẹrọ aṣawakiri naa yoo ni anfani lati muuṣiṣẹpọ ẹda ti data rẹ ninu awọn iwe-ẹri ti a fagile ni ojoojumọ ati pe ibi ipamọ data yii yoo wa labẹ eyikeyi awọn ipo.

CRLite ṣe idapọ alaye lati Ijẹrisi ijẹrisi, igbasilẹ gbogbogbo ti gbogbo awọn iwe-ẹri ti a fun ati fagile ati awọn abajade ti ijẹrisi ijẹrisi Intanẹẹti (ọpọlọpọ awọn atokọ CRL ti awọn ile-iṣẹ ijẹrisi ni a kojọpọ ati alaye nipa gbogbo awọn iwe-ẹri ti a mọ ni a ṣafikun).

Ti ṣajọ data nipa lilo awọn asẹ Bloom.

Lati yọkuro awọn itaniji eke, CRLite ṣafihan awọn ipele idanimọ atunse afikun. Lẹhin ti a ti kọ eto naa, gbogbo awọn igbasilẹ orisun ti wa ni atokọ ati awọn itaniji eke ti wa.

Ni ibamu si awọn abajade ijerisi yii, a ṣe ipilẹ afikun kan ti o ṣe agbekọja lori akọkọ ti o ṣe atunṣe eyikeyi awọn itaniji eke ti o ti dide. Išišẹ naa tun tun ṣe titi ti o fi yọ awọn odi eke kuro patapata ni idaniloju.

Nigbagbogboal, lati bo gbogbo data patapata, ṣiṣẹda awọn fẹlẹfẹlẹ 7-10 ti to. Niwọn igba ti ipo data nitori amuṣiṣẹpọ igbakọọkan wa ni ipo diẹ lẹhin ipo lọwọlọwọ ti CRL, iṣeduro ti awọn iwe-ẹri tuntun ti a gbejade lẹhin imudojuiwọn ti o kẹhin ti ibi ipamọ data CRLite ni a ṣe nipasẹ lilo ilana OCSP, pẹlu lilo ilana imulẹ OCSP.

Imuse ti Mozilla ti CRLite ti jade labẹ iwe-aṣẹ MPL 2.0 ọfẹ. Koodu lati ṣe ipilẹ data ati awọn paati olupin ni a kọ ni Python ati Go. Awọn ẹya alabara ti a ṣafikun si Firefox lati ka data lati ibi ipamọ data ti pese ni ede Ipata.

Orisun: https://blog.mozilla.org/


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Jẹ akọkọ lati sọ ọrọ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade. O beere aaye ti wa ni samisi pẹlu *

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.