In u passatu, i certificati sò spessu scaduti perchè anu da esse rinnuvati manualmente. A ghjente simpricimenti scurdatu di fà. Cù l'avventu di Let's Encrypt è a prucedura d'aghjurnamentu automaticu, pare chì u prublema deve esse risoltu. Ma recenti mostra chì, in fatti, hè sempre pertinente. Sfurtunatamente, i certificati cuntinueghjanu à scade.
In casu avete mancatu a storia, à mezanotte di u 4 di maghju di u 2019, quasi tutte l'estensioni di Firefox di colpu cessanu di travaglià.
Comu si girò fora, u fallimentu massivu hè accadutu per via di u fattu chì Mozilla , chì hè stata utilizata per firmà estensioni. Dunque, sò stati marcati cum'è "invalidi" è ùn sò micca verificati (). In i fori, cum'è una soluzione alternativa, era cunsigliatu di disattivà a verificazione di a firma di l'estensione in circa: config o cambià u clock di u sistema.
Mozilla hà liberatu rapidamente u patch Firefox 66.0.4, chì risolve u prublema cù un certificatu invalidu, è tutte l'estensione tornanu à u normale. I sviluppatori ricumandemu di stallà è ùn ci hè micca solu solu per passà a verificazione di a firma perchè ponu cunflittu cù u patch.
Tuttavia, sta storia mostra di novu chì a scadenza di u certificatu resta un prublema urgente oghje.
In questu sensu, hè interessante di vede un modu piuttostu originale cumu i sviluppatori di protokolli anu trattatu stu compitu . A so suluzione pò esse divisa in dui parti. Prima, si tratta di certificati à breve termine. Siconda, avvistendu l'utilizatori nantu à a scadenza di quelli à longu andà.
DNSCrypt
DNSCrypt hè un protocolu di crittografia di trafficu DNS. Prutege e cumunicazioni DNS da intercepzioni è MiTM, è permette ancu di scaccià u bluccatu à u nivellu di query DNS.
U protokollu avvolge u trafficu DNS trà u cliente è u servitore in una custruzzione criptografica, operandu nantu à i protokolli di trasportu UDP è TCP. Per usà, u cliente è u resolutore DNS deve supportà DNSCrypt. Per esempiu, da marzu 2016, hè stata attivata nantu à i so servitori DNS è in u navigatore Yandex. Diversi altri fornituri anu ancu annunziatu supportu, cumprese Google è Cloudflare. Sfurtunatamente, ùn sò micca assai di elli (152 servitori publichi DNS sò listati nantu à u situ ufficiale). Ma u prugramma pò esse installatu manualmente nantu à i clienti Linux, Windows è MacOS. Ci sò ancu .
Cumu funziona DNSCrypt? In corta, u cliente piglia a chjave publica di u fornitore sceltu è l'utiliza per verificà i so certificati. I chjavi publichi di cortu termine per a sessione è l'identificatore di a suite di criptu sò digià quì. I clienti sò incuraghjiti à generà una nova chjave per ogni dumanda, è i servitori sò incuraghjiti à cambià e chjave ogni 24 ore. Quandu scambià e chjave, l'algoritmu X25519 hè utilizatu, per a firma - EdDSA, per a criptografia di bloccu - XSalsa20-Poly1305 o XChaCha20-Poly1305.
Unu di i sviluppatori di protocolu Frank Denis chì a sustituzione automatica ogni 24 ore risolve u prublema di certificati scaduti. In principiu, u cliente di riferimentu dnscrypt-proxy accetta certificati cù qualsiasi periodu di validità, ma emette un avvisu "U periodu di chjave dnscrypt-proxy per stu servitore hè troppu longu" s'ellu hè validu per più di 24 ore. À u listessu tempu, una maghjina Docker hè stata liberata, in quale un cambiamentu rapidu di chjave (è certificati) hè statu implementatu.
Prima, hè estremamente utile per a sicurità: se u servitore hè cumprumissu o a chjave hè filtrata, u trafficu di ieri ùn pò micca esse decriptatu. A chjave hè digià cambiata. Questu serà prubabilmente un prublema per l'implementazione di a Legge Yarovaya, chì forza i fornituri à almacenà tuttu u trafficu, cumpresu u trafficu criptatu. L'implicazione hè chì si pò esse decriptatu dopu, se ne necessariu, dumandendu a chjave da u situ. Ma in questu casu, u situ simpricimenti ùn pò micca furnisce, perchè usa chjavi di corta durazione, sguassate i vechji.
Ma u più impurtante, Denis scrive, i chjavi di cortu termine forzanu i servitori à stallà l'automatizazione da u primu ghjornu. Se u servitore si cunnetta à a reta è i script di cambiamentu chjave ùn sò micca cunfigurati o ùn funziona micca, questu serà rilevatu immediatamente.
Quandu l'automatizazione cambia e chjave ogni pochi anni, ùn pò micca esse affidatu, è a ghjente pò scurdà di a scadenza di u certificatu. Se cambiate e chjave ogni ghjornu, questu serà rilevatu istantaneamente.
À u listessu tempu, se l'automatizazione hè cunfigurata nurmale, ùn importa micca quantu spessu i chjavi sò cambiati: ogni annu, ogni trimestre o trè volte à ghjornu. Se tuttu funziona per più di 24 ore, hà da travaglià per sempre, scrive Frank Denis. Sicondu ellu, a ricunniscenza di a rotazione di chjave di ogni ghjornu in a seconda versione di u protokollu, inseme cù una maghjina Docker pronta chì l'implementa, hà riduciutu in modu efficace u numeru di servitori cù certificati scaduti, mentre chì simultaneamente migliurà a sicurità.
Tuttavia, certi fornituri anu sempre decisu, per certi motivi tecnichi, di stabilisce u periodu di validità di u certificatu à più di 24 ore. Stu prublema hè stata largamente risolta cù uni pochi di linee di codice in dnscrypt-proxy: l'utilizatori ricevenu un avvisu informativu 30 ghjorni prima di a scadenza di u certificatu, un altru missaghju cù un livellu di gravità più altu 7 ghjorni prima di scadenza, è un missaghju criticu se u certificatu hà qualchì restu. validità, menu di 24 ore. Questu hè solu per i certificati chì inizialmente anu un longu periodu di validità.
Questi missaghji dannu à l'utilizatori l'uppurtunità di avvisà l'operatori DNS di l'imminente scadenza di u certificatu prima chì sia troppu tardi.
Forsi, se tutti l'utilizatori di Firefox anu ricevutu un tali missaghju, allora qualcunu prubabilmente informarà i sviluppatori è ùn permettenu micca u certificatu di scade. "Ùn ricordu micca un solu servitore DNSCrypt in a lista di i servitori DNS publicu chì hà avutu u so certificatu scadutu in l'ultimi dui o trè anni", scrive Frank Denis. In ogni casu, hè probabilmente megliu avvistà l'utilizatori prima invece di disattivà l'estensione senza avvisu.
Source: www.habr.com