Iraganean, ziurtagiriak askotan iraungitzen ziren, eskuz berritu behar zirelako. Jendeari besterik gabe ahaztu egin zen. Let's Encrypt-en etorrerarekin eta eguneratze automatikoaren prozedurarekin, badirudi arazoa konpondu behar dela. Baina azkena erakusten du, hain zuzen ere, oraindik garrantzitsua dela. Zoritxarrez, ziurtagiriak iraungitzen jarraitzen dute.
Istorioa galdu bazenuen, 4ko maiatzaren 2019ko gauerdian, ia Firefox-en luzapen guztiek bat-batean funtzionatzeari utzi zioten.
Gertatu zenez, porrot masiboa Mozilla dela eta gertatu zen , luzapenak sinatzeko erabiltzen zena. Hori dela eta, "baliogabe" gisa markatu ziren eta ez ziren egiaztatu (). Foroetan, konponbide gisa, luzapenaren sinadura egiaztatzea desgaitzea gomendatu zen about: config edo sistemaren erlojua aldatzea.
Mozillak berehala kaleratu zuen Firefox 66.0.4 adabakia, ziurtagiri baliogabe batekin arazoa konpontzen duena, eta luzapen guztiak normaltasunera itzultzen dira. Garatzaileek instalatzea gomendatzen dute eta sinadura egiaztapena saihesteko konponbiderik ez, adabakiarekin gatazkan egon daitezkeelako.
Hala ere, istorio honek berriro ere erakusten du ziurtagiriaren iraungitzea gaur egun arazo larria izaten jarraitzen duela.
Zentzu honetan, interesgarria da protokoloen garatzaileek zeregin horri nola aurre egin dioten modu original samarrean ikustea . Haien soluzioa bi zatitan bana daiteke. Lehenik eta behin, epe laburreko ziurtagiriak dira. Bigarrenik, erabiltzaileei epe luzerako iraungitzeaz ohartaraztea.
DNSCrypt
DNSCrypt DNS trafikoa enkriptatzeko protokoloa da. DNS komunikazioak atzemateetatik eta MiTMtik babesten ditu, eta DNS kontsulta mailan blokeoa saihesteko aukera ere ematen du.
Protokoloak bezeroaren eta zerbitzariaren arteko DNS trafikoa eraikuntza kriptografiko batean biltzen du, UDP eta TCP garraio protokoloen bidez funtzionatuz. Erabiltzeko, bai bezeroak bai DNS ebazleak DNSCrypt onartu behar dute. Esate baterako, 2016ko martxotik, bere DNS zerbitzarietan eta Yandex arakatzailean gaituta dago. Beste hainbat hornitzailek ere laguntza iragarri dute, Google eta Cloudflare barne. Zoritxarrez, ez dira asko (152 DNS zerbitzari publiko ageri dira webgune ofizialean). Baina programa eskuz instala daiteke Linux, Windows eta MacOS bezeroetan. Badira ere .
Nola funtzionatzen du DNSCrypt-ek? Laburbilduz, bezeroak hautatutako hornitzailearen gako publikoa hartzen du eta bere ziurtagiriak egiaztatzeko erabiltzen du. Saiorako epe laburreko gako publikoak eta zifra-multzoaren identifikatzailea dagoeneko hor daude. Bezeroei eskaera bakoitzerako gako berri bat sortzea gomendatzen zaie eta zerbitzariei gakoak aldatzera gomendatzen zaie 24 orduz behin. Gakoak trukatzean, X25519 algoritmoa erabiltzen da, sinatzeko - EdDSA, blokeen enkriptatzeko - XSalsa20-Poly1305 edo XChaCha20-Poly1305.
Frank Denis protokoloen garatzaileetako bat 24 orduz behin ordezkapen automatiko horrek iraungitako ziurtagirien arazoa konpondu zuen. Printzipioz, dnscrypt-proxy erreferentzia-bezeroak edozein balio-epea duten ziurtagiriak onartzen ditu, baina abisua ematen du "Zerbitzari honen dnscrypt-proxy gako-epea luzeegia da" 24 ordu baino gehiago balio badu. Aldi berean, Docker irudi bat kaleratu zen, eta bertan gakoen (eta ziurtagirien) aldaketa azkar bat ezarri zen.
Lehenik eta behin, oso erabilgarria da segurtasunerako: zerbitzaria arriskuan badago edo gakoa filtratzen bada, ezin da deszifratu atzoko trafikoa. Gakoa aldatu egin da dagoeneko. Horrek arazo bat sortuko du Yarovaya Legea ezartzeko, hornitzaileak trafiko guztia gordetzera behartzen dituena, enkriptatutako trafikoa barne. Ondorioa da gero deszifratu daitekeela beharrezkoa bada gakoa guneari eskatuz. Baina kasu honetan, guneak ezin du eman, epe laburreko gakoak erabiltzen dituelako, zaharrak ezabatuz.
Baina garrantzitsuena, Denis-ek idazten duenez, epe laburreko gakoek zerbitzariak lehen egunetik automatizazioa konfiguratzera behartzen dituzte. Zerbitzaria sarera konektatzen bada eta gako-aldaketaren script-ak ez badira konfiguratuta edo funtzionatzen ez badute, berehala detektatuko da.
Automatizazioak urte batzuetan behin gakoak aldatzen dituenean, ezin da fidatu, eta jendeak ziurtagiriaren iraungitzeaz ahaztu dezake. Egunero teklak aldatzen badituzu, hau berehala detektatuko da.
Aldi berean, automatizazioa normalean konfiguratzen bada, ez du axola teklak zenbat aldiz aldatzen diren: urtero, hiruhileko edo egunean hiru aldiz. Dena 24 ordu baino gehiagoz funtzionatzen badu, betiko funtzionatuko du, idatzi du Frank Denisek. Haren arabera, protokoloaren bigarren bertsioan eguneroko gakoen biraketa gomendioak, hura inplementatzen duen prest egindako Docker irudiarekin batera, iraungitako ziurtagiriak dituzten zerbitzarien kopurua eraginkortasunez murriztu zuen, eta, aldi berean, segurtasuna hobetzen zuen.
Hala ere, hornitzaile batzuek oraindik erabaki zuten, arrazoi tekniko batzuengatik, ziurtagiriaren balio-epea 24 ordu baino gehiago ezartzea. Arazo hau dnscrypt-proxy-ko kode-lerro batzuekin konpondu zen neurri handi batean: erabiltzaileek ziurtagiria iraungi baino 30 egun lehenago informazio-abisu bat jasotzen dute, larritasun-maila handiagoa duen beste mezu bat iraungi baino 7 egun lehenago, eta mezu kritiko bat ziurtagiria geratzen bada. indarraldia.24 ordu baino gutxiago. Hau hasiera batean balio-epe luzea duten ziurtagiriei bakarrik aplikatzen zaie.
Mezu hauek erabiltzaileei aukera ematen diete DNS operadoreei ziurtagiriaren iraungipenaren berri emateko, berandu baino lehen.
Agian Firefox erabiltzaile guztiek horrelako mezu bat jasoko balute, norbaitek garatzaileei jakinaraziko lieke eta ez lukete baimenduko ziurtagiria iraungitzen. "Ez dut gogoratzen DNSCrypt zerbitzari bakar bat DNS zerbitzari publikoen zerrendan, azken bizpahiru urteetan ziurtagiria iraungi izan duena", idatzi du Frank Denisek. Nolanahi ere, seguruenik hobe da erabiltzaileei lehenik abisatzea luzapenak abisatu gabe desgaitzea baino.
Iturria: www.habr.com