San àm a dh’ fhalbh, bhiodh teisteanasan gu tric a’ tighinn gu crìch leis gum feumadh iad ùrachadh le làimh. Dhìochuimhnich daoine dìreach a dhèanamh. Le teachd Let's Encrypt agus am modh ùrachadh fèin-ghluasadach, tha e coltach gum bu chòir an duilgheadas fhuasgladh. Ach o chionn ghoirid sealltainn gu bheil e, gu dearbh, fhathast buntainneach. Gu mì-fhortanach, tha teisteanasan fhathast a’ tighinn gu crìch.
Air eagal ‘s gun do chaill thu an sgeulachd, aig meadhan oidhche air 4 Cèitean, 2019, gu h-obann stad cha mhòr a h-uile leudachadh Firefox ag obair.
Mar a thionndaidh e, thachair an fàilligeadh mòr air sgàth Mozilla , a chaidh a chleachdadh airson leudachadh a shoidhnigeadh. Mar sin, chaidh an comharrachadh mar “neo-dhligheach” agus cha deach an dearbhadh (). Air na fòraman, mar fhuasgladh, chaidh a mholadh gun deidheadh dearbhadh ainm-sgrìobhte leudachaidh a chuir dheth mu dheidhinn: cumadh no atharrachadh gleoc an t-siostaim.
Sgaoil Mozilla gu sgiobalta am paiste Firefox 66.0.4, a dh ’fhuasglas an duilgheadas le teisteanas neo-dhligheach, agus bidh gach leudachadh a’ tilleadh gu àbhaisteach. Tha an luchd-leasachaidh a 'moladh a stàladh agus chan eil dòighean-obrach ann gus dearbhadh ainm-sgrìobhte a sheachnadh oir dh’ fhaodadh iad a dhol an aghaidh a’ phaiste.
Ach, tha an sgeulachd seo a’ sealltainn a-rithist gu bheil crìoch teisteanais fhathast na chùis èiginneach an-diugh.
A thaobh seo, tha e inntinneach coimhead air dòigh caran tùsail mar a dhèilig luchd-leasachaidh a’ phròtacal ris a’ ghnìomh seo . Faodar am fuasgladh aca a roinn ann an dà phàirt. An toiseach, is e teisteanasan geàrr-ùine a tha seo. San dara h-àite, a 'toirt rabhadh do luchd-cleachdaidh mu bhith a' tighinn gu crìch air feadhainn fad-ùine.
DNSCrypt
Tha DNSCrypt na phròtacal crioptachaidh trafaic DNS. Bidh e a’ dìon conaltradh DNS bho eadar-bheachdan agus MiTM, agus leigidh e leat cuideachd casg a chuir air bacadh aig ìre ceist DNS.
Bidh am protocol a’ cuairteachadh trafaic DNS eadar teachdaiche agus frithealaiche ann an togail criptografach, ag obair thairis air protocolaidhean còmhdhail UDP agus TCP. Gus a chleachdadh, feumaidh an dà chuid an neach-dèiligidh agus an neach-rèiteachaidh DNS taic a thoirt do DNSCrypt. Mar eisimpleir, bhon Mhàrt 2016, tha e air a bhith comasach air na frithealaichean DNS aige agus ann am brabhsair Yandex. Tha grunn sholaraichean eile air taic ainmeachadh cuideachd, nam measg Google agus Cloudflare. Gu mì-fhortanach, chan eil mòran dhiubh ann (tha frithealaichean DNS poblach 152 air an liostadh air an làrach-lìn oifigeil). Ach am prògram Faodar a chuir a-steach le làimh air teachdaichean Linux, Windows agus macOS. Tha cuideachd .
Ciamar a tha DNSCrypt ag obair? Ann an ùine ghoirid, bidh an neach-dèiligidh a’ gabhail iuchair phoblach an t-solaraiche taghte agus ga chleachdadh gus na teisteanasan aige a dhearbhadh. Tha na h-iuchraichean poblach geàrr-ùine airson an t-seisein agus an aithnichear sreath cipher ann mu thràth. Thathas a’ brosnachadh luchd-dèiligidh gus iuchair ùr a ghineadh airson gach iarrtas, agus thathas a’ brosnachadh luchd-frithealaidh iuchraichean atharrachadh gach 24 uair. Nuair a thathar ag iomlaid iuchraichean, thathas a’ cleachdadh an algairim X25519, airson soidhnigeadh - EdDSA, airson crioptachadh bloca - XSalsa20-Poly1305 no XChaCha20-Poly1305.
Aon de luchd-leasachaidh protocol Frank Denis dh’ fhuasgail an ath-chur fèin-ghluasadach sin a h-uile 24 uair an duilgheadas mu theisteanasan a thàinig gu crìch. Ann am prionnsapal, bidh an neach-dèiligidh iomraidh dnscrypt-proxy a’ gabhail ri teisteanasan le ùine dligheachd sam bith, ach a’ cur a-mach rabhadh “Tha an ùine iuchrach dnscrypt-proxy airson an fhrithealaiche seo ro fhada” ma tha e dligheach airson barrachd air 24 uairean. Aig an aon àm, chaidh ìomhaigh Docker a leigeil ma sgaoil, anns an deach atharrachadh luath air iuchraichean (agus teisteanasan) a chuir an gnìomh.
An toiseach, tha e air leth feumail airson tèarainteachd: ma tha am frithealaiche ann an cunnart no ma thèid an iuchair a leigeil ma sgaoil, chan urrainnear trafaic an-dè a dhì-chrioptachadh. Tha an iuchair air atharrachadh mu thràth. Tha e coltach gum bi seo na dhuilgheadas airson buileachadh Lagh Yarovaya, a bheir air solaraichean an trafaic gu lèir a stòradh, a ’toirt a-steach trafaic crioptaichte. Tha seo a’ ciallachadh gum faodar a dhì-chrioptachadh nas fhaide air adhart ma tha sin riatanach le bhith ag iarraidh an iuchair bhon làrach. Ach anns a 'chùis seo, chan urrainn don làrach a thoirt seachad, oir tha e a' cleachdadh iuchraichean geàrr-ùine, a 'sguabadh às seann fheadhainn.
Ach nas cudromaiche, tha Denis a’ sgrìobhadh, tha iuchraichean geàrr-ùine a’ toirt air luchd-frithealaidh fèin-ghluasad a stèidheachadh bhon chiad latha. Ma cheanglas am frithealaiche ris an lìonra agus nach eil na sgriobtaichean atharrachaidh iuchrach air an rèiteachadh no nach eil ag obair, lorgar seo sa bhad.
Nuair a dh’ atharraicheas fèin-ghluasad iuchraichean a h-uile beagan bhliadhnaichean, chan urrainnear earbsa a bhith ann, agus faodaidh daoine dìochuimhneachadh mu theisteanas a thighinn gu crìch. Ma dh'atharraicheas tu na h-iuchraichean gach latha, lorgar seo sa bhad.
Aig an aon àm, ma tha fèin-ghluasad air a rèiteachadh gu h-àbhaisteach, chan eil e gu diofar dè cho tric a thèid na h-iuchraichean atharrachadh: gach bliadhna, gach ràithe no trì tursan san latha. Ma dh'obraicheas a h-uile càil airson barrachd air 24 uairean, obraichidh e gu bràth, a 'sgrìobhadh Frank Denis. A rèir e, lughdaich am moladh airson cuairteachadh iuchrach làitheil san dàrna dreach den phròtacal, còmhla ri ìomhaigh Docker deiseil a bhios ga chuir an gnìomh, gu h-èifeachdach an àireamh de luchd-frithealaidh le teisteanasan a dh’ fhalbh, agus aig an aon àm a ’leasachadh tèarainteachd.
Ach, cho-dhùin cuid de sholaraichean fhathast, airson adhbharan teicnigeach, ùine dligheachd an teisteanais a shuidheachadh gu barrachd air 24 uairean. Chaidh an duilgheadas seo fhuasgladh gu ìre mhòr le beagan loidhnichean de chòd ann an dnscrypt-proxy: gheibh luchd-cleachdaidh rabhadh fiosrachaidh 30 latha mus tig an teisteanas gu crìch, teachdaireachd eile le ìre nas àirde de dhragh 7 latha mus tig e gu crìch, agus teachdaireachd èiginneach ma tha gin air fhàgail aig an teisteanas. dligheachd nas lugha na 24 uairean. Chan eil seo a’ buntainn ach ri teisteanasan aig a bheil ùine dligheachd fada an toiseach.
Bheir na teachdaireachdan seo cothrom do luchd-cleachdaidh fios a chuir gu gnìomhaichean DNS mu dheireadh an teisteanais mus bi e ro fhadalach.
Is dòcha nan d’ fhuair a h-uile neach-cleachdaidh Firefox a leithid de theachdaireachd, is dòcha gun cuireadh cuideigin fios chun luchd-leasachaidh agus gun cuireadh iad stad air an teisteanas bho bhith a’ tighinn gu crìch. “Chan eil cuimhne agam air aon fhrithealaiche DNSCrypt air an liosta de luchd-frithealaidh DNS poblach a thàinig gu crìch anns an dà no trì bliadhna a dh’ fhalbh, ”sgrìobh Frank Denis. Co-dhiù, is dòcha gu bheil e nas fheàrr rabhadh a thoirt do luchd-cleachdaidh an-toiseach seach a bhith a’ cur casg air leudachaidhean gun rabhadh.
Source: www.habr.com