Keçmişdə sertifikatların müddəti tez-tez başa çatırdı, çünki onlar əl ilə yenilənməli idilər. İnsanlar sadəcə bunu etməyi unutdular. Let's Encrypt-in gəlişi və avtomatik yeniləmə proseduru ilə belə görünür ki, problem həll edilməlidir. Amma son vaxtlar faktiki olaraq hələ də aktual olduğunu göstərir. Təəssüf ki, sertifikatların müddəti bitməkdə davam edir.
Hekayəni qaçırdığınız halda, 4 may 2019-cu il gecə yarısı, demək olar ki, bütün Firefox genişləndirmələri qəfildən işləməyi dayandırdı.
Məlum olub ki, kütləvi uğursuzluq Mozilla ilə əlaqədar baş verib , uzantıları imzalamaq üçün istifadə edilmişdir. Buna görə də, onlar "etibarsız" kimi qeyd edildi və yoxlanılmadı (). Forumlarda, bir həll yolu olaraq, genişləndirmə imza yoxlamasını söndürmək tövsiyə edildi Haqqında: config və ya sistem saatının dəyişdirilməsi.
Mozilla tez bir zamanda Firefox 66.0.4 yamasını buraxdı, bu, etibarsız sertifikatla problemi həll etdi və bütün genişləndirmələr normal vəziyyətə qayıdır. Tərtibatçılar onu quraşdırmağı məsləhət görürlər imza yoxlamasından yan keçmək üçün heç bir həll yolu yoxdur, çünki onlar yamaq ilə ziddiyyət təşkil edə bilər.
Lakin bu hekayə bir daha göstərir ki, sertifikatın müddətinin başa çatması bu gün də aktual problem olaraq qalır.
Bu baxımdan, protokol tərtibatçılarının bu məsələ ilə necə məşğul olduqlarına olduqca orijinal bir şəkildə baxmaq maraqlıdır . Onların həllini iki hissəyə bölmək olar. Birincisi, bunlar qısamüddətli sertifikatlardır. İkincisi, istifadəçilərə uzunmüddətli olanların sona çatması barədə xəbərdarlıq.
DNSCrypt
DNSCrypt DNS trafik şifrələmə protokoludur. O, DNS kommunikasiyalarını ələ keçirmələrdən və MiTM-dən qoruyur, həmçinin DNS sorğusu səviyyəsində blokdan keçməyə imkan verir.
Protokol UDP və TCP nəqliyyat protokolları üzərində işləyən kriptoqrafik konstruksiyada müştəri və server arasında DNS trafikini əhatə edir. Onu istifadə etmək üçün həm müştəri, həm də DNS həlledicisi DNSCrypt-i dəstəkləməlidir. Məsələn, 2016-cı ilin mart ayından etibarən DNS serverlərində və Yandex brauzerində aktivləşdirilib. Bir sıra digər provayderlər də Google və Cloudflare daxil olmaqla dəstək elan etdilər. Təəssüf ki, onların çoxu yoxdur (rəsmi internet saytında 152 ictimai DNS server qeyd olunub). Amma proqram Linux, Windows və MacOS klientlərində əl ilə quraşdırıla bilər. Həmçinin var .
DNSCrypt necə işləyir? Bir sözlə, müştəri seçilmiş provayderin açıq açarını götürür və ondan sertifikatlarını yoxlamaq üçün istifadə edir. Sessiya üçün qısamüddətli açıq açarlar və şifrə dəsti identifikatoru artıq oradadır. Müştərilər hər sorğu üçün yeni açar yaratmağa, serverlərə isə açarları dəyişməyə təşviq edilir hər 24 saatdan bir. Açarların mübadiləsi zamanı X25519 alqoritmi istifadə olunur, imza üçün - EdDSA, blok şifrələməsi üçün - XSalsa20-Poly1305 və ya XChaCha20-Poly1305.
Protokol tərtibatçılarından biri Frank Denis Hər 24 saatdan bir avtomatik dəyişdirmə vaxtı keçmiş sertifikatlar problemini həll etdi. Prinsipcə, dnscrypt-proxy istinad müştərisi istənilən etibarlılıq müddəti olan sertifikatları qəbul edir, lakin 24 saatdan çox etibarlıdırsa, "Bu server üçün dnscrypt-proxy açarı müddəti çox uzundur" xəbərdarlığı verir. Eyni zamanda, açarların (və sertifikatların) sürətli dəyişdirilməsinin həyata keçirildiyi Docker təsviri buraxıldı.
Birincisi, bu, təhlükəsizlik üçün son dərəcə faydalıdır: əgər server təhlükə altındadırsa və ya açar sızdırılıbsa, dünənki trafikin şifrəsini açmaq mümkün deyil. Açar artıq dəyişib. Bu, çox güman ki, provayderləri bütün trafiki, o cümlədən şifrələnmiş trafiki saxlamağa məcbur edən Yarovaya Qanununun tətbiqi üçün problem yaradacaq. Nəticə ondan ibarətdir ki, lazım gələrsə, saytdan açarı tələb etməklə sonradan şifrəni açmaq olar. Ancaq bu vəziyyətdə sayt onu sadəcə təmin edə bilməz, çünki köhnələrini silməklə qısamüddətli açarlardan istifadə edir.
Amma ən əsası, Denis yazır ki, qısamüddətli açarlar serverləri ilk gündən avtomatlaşdırma qurmağa məcbur edir. Əgər server şəbəkəyə qoşularsa və açar dəyişdirmə skriptləri konfiqurasiya edilmirsə və ya işləmirsə, bu dərhal aşkar ediləcək.
Avtomatlaşdırma açarları bir neçə ildən bir dəyişdikdə, buna etibar etmək olmaz və insanlar sertifikatın müddətini unuda bilərlər. Düymələri gündəlik dəyişdirsəniz, bu dərhal aşkar ediləcək.
Eyni zamanda, avtomatlaşdırma normal şəkildə konfiqurasiya edilirsə, o zaman açarların nə qədər tez-tez dəyişdirilməsinin əhəmiyyəti yoxdur: hər il, hər rüb və ya gündə üç dəfə. Hər şey 24 saatdan çox işləyirsə, o, əbədi işləyəcək, Frank Denis yazır. Onun sözlərinə görə, protokolun ikinci versiyasında açarların gündəlik fırlanmasının tövsiyəsi, onu həyata keçirən hazır Docker təsviri ilə birlikdə, etibarlılıq müddəti bitmiş sertifikatları olan serverlərin sayını effektiv şəkildə azaldıb, eyni zamanda təhlükəsizliyi artırıb.
Bununla belə, bəzi provayderlər hələ də bəzi texniki səbəblərə görə sertifikatın etibarlılıq müddətini 24 saatdan artıq təyin etmək qərarına gəliblər. Bu problem əsasən dnscrypt-proxy-də bir neçə sətir kodla həll edildi: istifadəçilər sertifikatın müddətinin bitməsinə 30 gün qalmış məlumat xəbərdarlığı, etibarlılıq müddətinin bitməsinə 7 gün qalmış daha yüksək ciddilik səviyyəsinə malik başqa bir mesaj və sertifikatda hər hansı qalıq varsa tənqidi mesaj alırlar. etibarlılıq.24 saatdan az. Bu, yalnız başlanğıcda uzun müddət etibarlılıq müddəti olan sertifikatlara aiddir.
Bu mesajlar istifadəçilərə çox gec olmamışdan əvvəl DNS operatorlarını yaxınlaşan sertifikatın sona çatması barədə xəbərdar etmək imkanı verir.
Bəlkə də bütün Firefox istifadəçiləri belə bir mesaj alsaydılar, yəqin ki, kimsə tərtibatçıları xəbərdar edər və sertifikatın müddətinin bitməsinə icazə verməzdilər. "Son iki və ya üç ildə sertifikatının müddəti bitmiş ictimai DNS serverləri siyahısında bir DNSCrypt serverini xatırlamıram" deyə Frank Denis yazır. Hər halda, xəbərdarlıq etmədən genişləndirmələri söndürməkdənsə, ilk növbədə istifadəçiləri xəbərdar etmək daha yaxşıdır.
Mənbə: www.habr.com