Kaniadto, ang mga sertipiko kanunay nga na-expire tungod kay kini kinahanglan nga i-renew sa mano-mano. Nakalimtan na lang sa mga tawo ang pagbuhat niini. Uban sa pag-abut sa Let's Encrypt ug ang awtomatikong pamaagi sa pag-update, ingon og kinahanglan nga masulbad ang problema. Apan bag-o lang nagpakita nga kini, sa pagkatinuod, may kalabutan gihapon. Ikasubo, ang mga sertipiko nagpadayon sa pag-expire.
Kung gimingaw ka sa istorya, sa tungang gabii sa Mayo 4, 2019, hapit tanan nga mga extension sa Firefox kalit nga mihunong sa pagtrabaho.
Ingon sa nahimo, ang dako nga kapakyasan nahitabo tungod sa kamatuoran nga ang Mozilla , nga gigamit sa pagpirma sa mga extension. Busa, sila gimarkahan nga "dili balido" ug wala gipamatud-an (). Sa mga forum, isip usa ka workaround, girekomenda nga dili pag-disable ang extension signature verification in mahitungod sa: config o pagbag-o sa orasan sa sistema.
Dali nga gipagawas sa Mozilla ang Firefox 66.0.4 patch, nga nagsulbad sa problema sa usa ka dili balido nga sertipiko, ug ang tanan nga mga extension mobalik sa normal. Girekomenda sa mga developer nga i-install kini ug walay workarounds sa bypass signature verification tungod kay sila mahimong supak sa patch.
Bisan pa, kini nga istorya sa makausa pa nagpakita nga ang pag-expire sa sertipiko nagpabilin nga usa ka dinalian nga isyu karon.
Niining bahina, makapaikag nga tan-awon ang usa ka orihinal nga paagi kung giunsa ang pagdumala sa mga developer sa protocol niini nga buluhaton . Ang ilang solusyon mahimong bahinon sa duha ka bahin. Una, kini mga mubu nga mga sertipiko. Ikaduha, gipasidan-an ang mga tiggamit bahin sa pag-expire sa mga dugay na.
DNSCrypt
Ang DNSCrypt usa ka protocol sa pag-encrypt sa trapiko sa DNS. Gipanalipdan niini ang mga komunikasyon sa DNS gikan sa mga interceptions ug MiTM, ug gitugotan ka usab nga makalikay sa pag-block sa lebel sa pangutana sa DNS.
Ang protocol nagputos sa trapiko sa DNS tali sa kliyente ug server sa usa ka cryptographic nga pagtukod, nga naglihok sa mga protocol sa transportasyon sa UDP ug TCP. Aron magamit kini, ang kliyente ug ang DNS resolver kinahanglang mosuporta sa DNSCrypt. Pananglitan, sukad sa Marso 2016, gi-enable na kini sa mga DNS server niini ug sa Yandex browser. Daghang ubang mga provider ang nagpahibalo usab sa suporta, lakip ang Google ug Cloudflare. Ikasubo, wala'y daghan niini (152 nga mga pampublikong DNS server ang gilista sa opisyal nga website). Apan ang programa mahimong ma-install nga mano-mano sa mga kliyente sa Linux, Windows ug MacOS. Adunay usab .
Giunsa pagtrabaho ang DNSCrypt? Sa laktud, gikuha sa kliyente ang publiko nga yawe sa gipili nga provider ug gigamit kini aron mapamatud-an ang mga sertipiko niini. Ang mga short-term public key para sa session ug ang cipher suite identifier anaa na. Giawhag ang mga kliyente sa paghimo og bag-ong yawe alang sa matag hangyo, ug ang mga server giawhag sa pag-usab sa mga yawe matag 24 oras. Kung nagbinayloay sa mga yawe, gigamit ang algorithm nga X25519, alang sa pagpirma - EdDSA, alang sa block encryption - XSalsa20-Poly1305 o XChaCha20-Poly1305.
Usa sa mga nag-develop sa protocol nga si Frank Denis nga ang awtomatik nga pag-ilis matag 24 oras nakasulbad sa problema sa mga expired nga sertipiko. Sa prinsipyo, ang dnscrypt-proxy reference nga kliyente modawat sa mga sertipiko nga adunay bisan unsang balido nga panahon, apan nag-isyu sa usa ka pasidaan "Ang dnscrypt-proxy nga yawe nga panahon alang niini nga server taas kaayo" kung kini balido sulod sa sobra sa 24 ka oras. Sa parehas nga oras, usa ka imahe sa Docker ang gipagawas, diin gipatuman ang usa ka dali nga pagbag-o sa mga yawe (ug mga sertipiko).
Una, kini mapuslanon kaayo alang sa seguridad: kung ang server nakompromiso o ang yawe na-leak, nan ang trapiko sa kagahapon dili ma-decrypt. Ang yawe nausab na. Kini lagmit nga maghatag ug problema sa pagpatuman sa Yarovaya Law, nga nagpugos sa mga providers sa pagtipig sa tanang trapiko, lakip na ang naka-encrypt nga trapiko. Ang implikasyon mao nga kini sa ulahi ma-decrypted kung gikinahanglan pinaagi sa paghangyo sa yawe gikan sa site. Apan sa kini nga kaso, ang site dili makahatag niini, tungod kay kini naggamit sa mga short-term nga mga yawe, nga nagtangtang sa mga daan.
Apan ang labing hinungdanon, gisulat ni Denis, ang mga short-term nga yawe nagpugos sa mga server sa pag-set up sa automation gikan sa usa ka adlaw. Kung ang server nagkonektar sa network ug ang yawe nga pagbag-o sa mga script wala ma-configure o wala molihok, kini mahibal-an dayon.
Kung gibag-o sa automation ang mga yawe matag pipila ka tuig, dili kini masaligan, ug makalimtan sa mga tawo ang pag-expire sa sertipiko. Kung imong usbon ang mga yawe adlaw-adlaw, kini makit-an dayon.
Sa samang higayon, kung ang automation normal nga gi-configure, nan dili igsapayan kung unsa ka sagad ang mga yawe giusab: matag tuig, matag quarter o tulo ka beses sa usa ka adlaw. Kung ang tanan molihok sa sobra sa 24 ka oras, kini molihok hangtod sa hangtod, misulat si Frank Denis. Matod niya, ang rekomendasyon sa adlaw-adlaw nga pag-rotate sa yawe sa ikaduhang bersyon sa protocol, kauban ang usa ka andam nga imahe nga Docker nga nagpatuman niini, epektibo nga nakunhuran ang gidaghanon sa mga server nga adunay mga expired nga sertipiko, samtang dungan nga gipauswag ang seguridad.
Bisan pa, ang pipila nga mga tighatag nakahukom gihapon, alang sa pipila nga mga teknikal nga hinungdan, nga itakda ang panahon sa pagkabalido sa sertipiko sa sobra sa 24 oras. Kini nga problema kadaghanan nasulbad pinaagi sa pipila ka linya sa code sa dnscrypt-proxy: ang mga tiggamit makadawat og pasidaan sa impormasyon 30 ka adlaw sa dili pa matapos ang sertipiko, laing mensahe nga adunay mas taas nga lebel sa kabug-at 7 ka adlaw sa wala pa matapos, ug usa ka kritikal nga mensahe kung ang sertipiko adunay nahabilin. balido. wala pay 24 oras. Kini magamit lamang sa mga sertipiko nga sa sinugdan adunay taas nga panahon sa balido.
Kini nga mga mensahe naghatag sa mga tiggamit og higayon sa pagpahibalo sa mga operator sa DNS sa umaabot nga pag-expire sa sertipiko sa dili pa ulahi ang tanan.
Tingali kung ang tanan nga tiggamit sa Firefox nakadawat sa ingon nga mensahe, nan adunay usa nga tingali magpahibalo sa mga nag-develop ug dili nila tugutan nga ma-expire ang sertipiko. βWala koy mahinumdoman nga usa ka DNSCrypt server sa listahan sa publikong DNS servers nga na-expire na ang certificate niini sa miaging duha o tulo ka tuig,β misulat si Frank Denis. Sa bisan unsang kaso, mas maayo tingali nga pasidan-an una ang mga tiggamit kaysa sa pag-disable sa mga extension nga walaβy pasidaan.
Source: www.habr.com