San am a chuaigh thart, is minic a chuaigh deimhnithe in éag toisc go gcaithfí iad a athnuachan de láimh. Rinne daoine dearmad go simplí é a dhéanamh. Le teacht Let's Encrypt agus an nós imeachta um nuashonrú uathoibríoch, is cosúil gur cheart an fhadhb a réiteach. Ach le déanaí léiríonn go bhfuil sé, i ndáiríre, fós ábhartha. Ar an drochuair, leanann teastais ag dul in éag.
I gcás gur chaill tú an scéal, ag meán oíche an 4 Bealtaine, 2019, stop beagnach gach síneadh Firefox ag obair go tobann.
Mar a tharla sé, tharla an teip ollmhór mar gheall ar an bhfíric go Mozilla , a úsáideadh chun síntí a shíniú. Mar sin, marcáladh iad mar “neamhbhailí” agus níor fíoraíodh iad (). Ar na fóraim, mar réiteach oibre, moladh fíorú sínithe síneadh a dhíchumasú i about: config nó clog an chórais a athrú.
D'eisigh Mozilla an paiste Firefox 66.0.4 go tapa, rud a réitíonn an fhadhb le teastas neamhbhailí, agus filleann gach síneadh ar an ngnáth. Molann na forbróirí é a shuiteáil agus gan aon réitigh chun fíorú sínithe a sheachbhóthar toisc go bhféadfadh siad a bheith i gcoimhlint leis an bpaiste.
Mar sin féin, léiríonn an scéal seo arís go bhfuil dul in éag teastas fós ina cheist phráinneach inniu.
Maidir leis seo, tá sé suimiúil breathnú ar bhealach sách bunaidh conas a dhéileáil na forbróirí prótacail leis an tasc seo . Is féidir a réiteach a roinnt ina dhá chuid. Ar an gcéad dul síos, is teastais ghearrthéarmacha iad seo. Ar an dara dul síos, rabhadh a thabhairt d'úsáideoirí faoi dhul in éag na cinn fadtéarmacha.
DNSCrypt
Is prótacal criptithe tráchta DNS é DNSCrypt. Cosnaíonn sé cumarsáid DNS ó idircheapadh agus MiTM, agus ligeann sé duit blocáil a sheachbhóthar ag leibhéal ceiste DNS.
Clúdaíonn an prótacal trácht DNS idir an cliant agus an freastalaí i dtógáil cripteagrafach, ag feidhmiú thar phrótacail iompair an UDP agus TCP. Chun é a úsáid, caithfidh an cliant agus an réititheoir DNS araon tacú le DNSCrypt. Mar shampla, ó mhí an Mhárta 2016, tá sé cumasaithe ar a fhreastalaithe DNS agus sa bhrabhsálaí Yandex. Tá tacaíocht fógartha ag roinnt soláthraithe eile freisin, lena n-áirítear Google agus Cloudflare. Ar an drochuair, níl go leor acu (tá 152 freastalaithe DNS poiblí liostaithe ar an láithreán gréasáin oifigiúil). Ach an clár is féidir é a shuiteáil de láimh ar chliaint Linux, Windows agus MacOS. Tá freisin .
Conas a oibríonn DNSCrypt? I mbeagán focal, glacann an cliant eochair phoiblí an tsoláthraí roghnaithe agus úsáideann sé í chun a dheimhnithe a fhíorú. Tá na heochracha poiblí gearrthéarmacha don seisiún agus an t-aitheantóir suite cipher ann cheana féin. Spreagtar cliaint eochair nua a ghiniúint do gach iarratas, agus spreagtar freastalaithe chun eochracha a athrú gach 24 uair an chloig. Nuair a bhíonn eochracha á mhalartú, úsáidtear an algartam X25519, chun síniú - EdDSA, le haghaidh criptithe bloc - XSalsa20-Poly1305 nó XChaCha20-Poly1305.
Ceann de na forbróirí prótacal Frank Denis gur réitigh an t-athsholáthar uathoibríoch gach 24 uair fadhb na ndeimhnithe imithe in éag. I bprionsabal, glacann an cliant tagartha dnscrypt-seachfhreastalaí deimhnithe le haon tréimhse bailíochta, ach eisíonn sé rabhadh "Tá an tréimhse eochrach dnscrypt-seachfhreastalaí don fhreastalaí seo ró-fhada" má tá sé bailí ar feadh níos mó ná 24 uair an chloig. Ag an am céanna, scaoileadh íomhá Docker, inar cuireadh athrú tapa eochracha (agus deimhnithe) i bhfeidhm.
Ar an gcéad dul síos, tá sé thar a bheith úsáideach le haghaidh slándála: má tá an freastalaí i gcontúirt nó má tá an eochair sceite, ní féidir trácht an lae inné a dhíchriptiú. Tá an eochair athraithe cheana féin. Is dócha go gcruthóidh sé seo fadhb maidir le cur i bhfeidhm an Dlí Yarovaya, a chuireann iallach ar sholáthraithe an trácht go léir a stóráil, lena n-áirítear trácht criptithe. Is é an impleacht gur féidir é a dhíchriptiú níos déanaí más gá tríd an eochair a iarraidh ón suíomh. Ach sa chás seo, ní féidir leis an suíomh a chur ar fáil go simplí, toisc go n-úsáideann sé eochracha gearrthéarmacha, ag scriosadh na seanchinn.
Ach is tábhachtaí fós, a scríobhann Denis, cuireann eochracha gearrthéarmacha iallach ar fhreastalaithe uathoibriú a bhunú ón gcéad lá. Má cheanglaíonn an freastalaí leis an líonra agus nach bhfuil na scripteanna athraithe eochair cumraithe nó nach bhfuil ag obair, beidh sé seo faoi deara láithreach.
Nuair a athraíonn uathoibriú eochracha gach cúpla bliain, ní féidir brath air, agus is féidir le daoine dearmad a dhéanamh ar dhul in éag an teastais. Má athraíonn tú na heochracha go laethúil, braithfidh sé seo láithreach.
Ag an am céanna, má tá uathoibriú cumraithe de ghnáth, ansin níl sé cuma cé chomh minic a athraítear na heochracha: gach bliain, gach ráithe nó trí huaire sa lá. Má oibríonn gach rud ar feadh níos mó ná 24 uair an chloig, oibreoidh sé go deo, scríobhann Frank Denis. Dar leis, laghdaigh an moladh maidir le rothlú eochair laethúil sa dara leagan den phrótacal, mar aon le híomhá Docker réidh a chuireann i bhfeidhm é, go héifeachtach líon na bhfreastalaithe le deimhnithe imithe in éag, agus feabhas á chur ar shlándáil ag an am céanna.
Mar sin féin, chinn roinnt soláthraithe fós, ar chúiseanna teicniúla áirithe, tréimhse bailíochta an deimhnithe a shocrú go dtí níos mó ná 24 huaire an chloig. Réitíodh an fhadhb seo den chuid is mó le cúpla líne de chód i dnscrypt-proxy: faigheann úsáideoirí rabhadh faisnéise 30 lá sula dtéann an teastas in éag, teachtaireacht eile le leibhéal déine níos airde 7 lá roimh dhul in éag, agus teachtaireacht ríthábhachtach má tá aon cheann fágtha sa teastas níos lú ná 24 uair an chloig. Ní bhaineann sé seo ach le deimhnithe a bhfuil tréimhse fhada bailíochta acu ar dtús.
Tugann na teachtaireachtaí seo deis d'úsáideoirí fógra a thabhairt d'oibreoirí DNS faoi dhul in éag an deimhnithe sula mbeidh sé ró-dhéanach.
B'fhéidir dá bhfaigheadh gach úsáideoir Firefox teachtaireacht den sórt sin, ansin is dócha go gcuirfeadh duine éigin na forbróirí ar an eolas agus ní ligfeadh siad don deimhniú dul in éag. “Ní cuimhin liom freastalaí DNSCrypt amháin ar liosta na bhfreastalaithe DNS poiblí a ndeachaigh a dheimhniú in éag le dhá nó trí bliana anuas,” a scríobh Frank Denis. In aon chás, is dócha go bhfuil sé níos fearr rabhadh a thabhairt d'úsáideoirí ar dtús seachas síntí a dhíchumasú gan rabhadh.
Foinse: will.com