A baya, takaddun shaida sau da yawa sun ƙare saboda dole ne a sabunta su da hannu. Mutane kawai sun manta da yin shi. Tare da zuwan Let's Encrypt da tsarin sabuntawa ta atomatik, da alama ya kamata a magance matsalar. Amma kwanan nan yana nuna cewa, a gaskiya, har yanzu yana da dacewa. Abin takaici, takaddun shaida na ci gaba da ƙarewa.
Idan kun rasa labarin, da tsakar dare ranar 4 ga Mayu, 2019, kusan duk kari na Firefox sun daina aiki ba zato ba tsammani.
Kamar yadda ya fito, babban gazawar ya faru saboda gaskiyar cewa Mozilla , wanda aka yi amfani da shi don sanya hannu kan kari. Saboda haka, an yi musu alama a matsayin "marasa inganci" kuma ba a tabbatar da su ba (). A kan dandalin tattaunawa, azaman hanyar warwarewa, an ba da shawarar a kashe tabbatar da sa hannun tsawaita a ciki game da: saiti ko canza agogon tsarin.
Mozilla ta saki da sauri Firefox 66.0.4 patch, wanda ke magance matsalar tare da takaddun shaida mara inganci, kuma duk kari ya dawo daidai. Masu haɓakawa suna ba da shawarar shigar da shi kuma Babu wata hanyar da za a bi don ƙetare tabbatar da sa hannu saboda suna iya cin karo da facin.
Koyaya, wannan labarin ya sake nuna cewa ƙarewar satifiket ya kasance babban batu a yau.
Dangane da wannan, yana da ban sha'awa mu kalli wata hanya ta asali yadda masu haɓaka ƙa'idar suka yi aiki da wannan aikin . Ana iya raba maganin su gida biyu. Na farko, waɗannan takaddun shaida ne na ɗan gajeren lokaci. Abu na biyu, gargadi masu amfani game da karewa na dogon lokaci.
DNSCrypt
DNSCrypt yarjejeniya ce ta ɓoye zirga-zirga ta DNS. Yana kare hanyoyin sadarwar DNS daga shiga tsakani da MiTMs, kuma yana ba ku damar ketare toshewa a matakin tambayar DNS.
Yarjejeniyar tana kunshe zirga-zirgar DNS tsakanin abokin ciniki da uwar garken a cikin ginin sirri, aiki akan ka'idojin sufuri na UDP da TCP. Don amfani da shi, duka abokin ciniki da mai warwarewar DNS dole ne su goyi bayan DNSCrypt. Misali, tun Maris 2016, an kunna shi akan sabar DNS ɗin sa da kuma mai binciken Yandex. Wasu masu samarwa da yawa kuma sun ba da sanarwar tallafi, gami da Google da Cloudflare. Abin takaici, babu da yawa daga cikinsu (an jera sabar DNS na jama'a 152 akan gidan yanar gizon hukuma). Amma shirin za a iya shigar da hannu akan Linux, Windows da MacOS abokan ciniki. Akwai kuma .
Ta yaya DNSCrypt ke aiki? A takaice, abokin ciniki yana ɗaukar maɓallin jama'a na wanda aka zaɓa yana amfani da shi don tabbatar da takaddun shaida. Maɓallan jama'a na ɗan gajeren lokaci na taron da mai gano suite sun riga sun kasance a can. Ana ƙarfafa abokan ciniki don ƙirƙirar sabon maɓalli ga kowane buƙatun, kuma ana ƙarfafa sabobin su canza maɓalli kowane awa 24. Lokacin musayar maɓalli, ana amfani da algorithm na X25519, don sa hannu - EdDSA, don toshe ɓoyayyen - XSalsa20-Poly1305 ko XChaCha20-Poly1305.
Daya daga cikin masu haɓaka yarjejeniya Frank Denis cewa maye gurbin atomatik kowane sa'o'i 24 ya warware matsalar takaddun takaddun da suka ƙare. A ka'ida, dnscrypt-proxy reference abokin ciniki yana karɓar takaddun shaida tare da kowane lokacin inganci, amma yana ba da gargaɗi "Lokacin maɓallin dnscrypt-proxy na wannan sabar ya yi tsayi da yawa" idan yana aiki fiye da sa'o'i 24. A lokaci guda, an fitar da hoton Docker, wanda aka aiwatar da saurin canza maɓalli (da takaddun shaida).
Na farko, yana da matukar amfani ga tsaro: idan uwar garken ta lalace ko kuma maɓalli ya leka, to ba za a iya ɓarna zirga-zirgar jiya ba. Makullin ya riga ya canza. Wataƙila wannan zai haifar da matsala ga aiwatar da Dokar Yarovaya, wanda ke tilasta masu samarwa don adana duk zirga-zirgar ababen hawa, gami da ɓoyayyen zirga-zirga. Ma'anar ita ce daga baya za'a iya warware shi idan ya cancanta ta hanyar neman maɓalli daga rukunin yanar gizon. Amma a wannan yanayin, rukunin yanar gizon ba zai iya samar da shi kawai ba, saboda yana amfani da maɓalli na gajeren lokaci, yana goge tsofaffi.
Amma mafi mahimmanci, Denis ya rubuta, maɓallai na gajeren lokaci suna tilasta sabobin don saita aiki da kai daga rana ɗaya. Idan uwar garken ya haɗa zuwa cibiyar sadarwar kuma ba a saita rubutun canjin maɓalli ko ba sa aiki, za a gano wannan nan da nan.
Lokacin da aiki da kai ke canza maɓallan kowane ƴan shekaru, ba za a iya dogara da shi ba, kuma mutane na iya mantawa game da ƙarewar satifiket. Idan kun canza maɓallan kullun, za a gano wannan nan take.
A lokaci guda kuma, idan an saita ta atomatik akai-akai, to ba komai sau nawa ana canza maɓallan: kowace shekara, kowace kwata ko sau uku a rana. Idan komai ya yi aiki fiye da sa'o'i 24, zai yi aiki har abada, in ji Frank Denis. A cewarsa, shawarar jujjuyawar maɓalli na yau da kullun a cikin nau'i na biyu na ka'idar, tare da hoton Docker da aka shirya wanda ke aiwatar da shi, yadda ya kamata ya rage adadin sabar da takaddun shaida ya ƙare, tare da inganta tsaro a lokaci guda.
Koyaya, wasu masu samarwa har yanzu sun yanke shawarar, saboda wasu dalilai na fasaha, don saita lokacin ingancin satifiket zuwa fiye da awanni 24. An magance wannan matsalar tare da ƴan layukan lamba a cikin dnscrypt-proxy: masu amfani suna karɓar gargaɗin bayani kwanaki 30 kafin takardar shaidar ta ƙare, wani saƙo mai girma mafi girma kwanaki 7 kafin karewa, da saƙo mai mahimmanci idan takardar shaidar tana da sauran sauran. inganci. kasa da awanni 24. Wannan kawai ya shafi takaddun shaida waɗanda farkon suna da dogon lokacin aiki.
Waɗannan saƙonnin suna ba masu amfani damar sanar da masu aiki da DNS na ƙarshen satifiket ɗin da ke gabatowa kafin ya yi latti.
Wataƙila idan duk masu amfani da Firefox sun sami irin wannan saƙon, to wani zai iya sanar da masu haɓakawa kuma ba za su ƙyale takardar shaidar ta ƙare ba. "Ban tuna uwar garken DNSCrypt guda ɗaya a cikin jerin sabar DNS na jama'a waɗanda ta sami takardar shaidar ta ƙare a cikin shekaru biyu ko uku da suka gabata," in ji Frank Denis. A kowane hali, yana da kyau a fara gargaɗi masu amfani da farko maimakon kashe kari ba tare da faɗakarwa ba.
source: www.habr.com