Nan tan lontan, sètifika yo souvan ekspire paske yo te dwe renouvle manyèlman. Moun tou senpleman bliye fè li. Ak avènement de Let's Encrypt ak pwosedi aktyalizasyon otomatik la, li sanble ke pwoblèm nan ta dwe rezoud. Men resan montre ke li se, an reyalite, toujou enpòtan. Malerezman, sètifika kontinye ap ekspire.
Nan ka ou rate istwa a, nan minwi 4 me 2019, prèske tout ekstansyon Firefox te sispann travay toudenkou.
Kòm li te tounen soti, echèk la masiv ki te fèt akòz lefèt ke Mozilla , ki te itilize pou siyen ekstansyon. Se poutèt sa, yo te make kòm "envalid" epi yo pa te verifye (). Sou fowòm yo, kòm yon solisyon, li te rekòmande pou enfim verifikasyon siyati ekstansyon an sou: config oswa chanje revèy sistèm lan.
Mozilla byen vit lage patch Firefox 66.0.4 la, ki rezoud pwoblèm nan ak yon sètifika ki pa valab, ak tout ekstansyon retounen nan nòmal. Devlopè yo rekòmande enstale li ak pa gen okenn solisyon kontoune verifikasyon siyati paske yo ka konfli ak plak la.
Sepandan, istwa sa a yon lòt fwa ankò montre ke ekspirasyon sètifika rete yon pwoblèm ijan jodi a.
Nan sans sa a, li enteresan gade nan yon fason olye orijinal ki jan devlopè pwotokòl yo te fè fas ak travay sa a . Solisyon yo ka divize an de pati. Premyèman, sa yo se sètifika a kout tèm. Dezyèmman, avèti itilizatè yo sou ekspirasyon an nan moun ki dire lontan.
DNSCrypt
DNSCrypt se yon pwotokòl chifreman trafik DNS. Li pwoteje kominikasyon DNS kont entèsepsyon ak MiTM, epi tou li pèmèt ou kontoune bloke nan nivo rechèch DNS.
Pwotokòl la vlope trafik DNS ant kliyan ak sèvè nan yon konstriksyon kriptografik, opere sou pwotokòl transpò UDP ak TCP. Pou itilize li, tou de kliyan an ak rezolisyon DNS la dwe sipòte DNSCrypt. Pou egzanp, depi mas 2016, li te pèmèt sou sèvè DNS li yo ak nan navigatè Yandex la. Plizyè lòt founisè te anonse tou sipò, tankou Google ak Cloudflare. Malerezman, pa gen anpil nan yo (152 sèvè DNS piblik yo ki nan lis sou sit entènèt ofisyèl la). Men, pwogram nan ka enstale manyèlman sou kliyan Linux, Windows ak MacOS. Genyen tou .
Ki jan DNSCrypt travay? Nan ti bout tan, kliyan an pran kle piblik founisè a chwazi a epi sèvi ak li pou verifye sètifika li yo. Kle piblik kout tèm pou sesyon an ak idantifyan suite chifre yo deja la. Yo ankouraje kliyan yo jenere yon nouvo kle pou chak demann, epi yo ankouraje sèvè yo chanje kle yo chak 24 èdtan. Lè echanje kle yo, yo itilize algorithm X25519 la, pou siyen - EdDSA, pou chifreman blòk - XSalsa20-Poly1305 oswa XChaCha20-Poly1305.
Youn nan pwotokòl devlopè Frank Denis ke ranplasman otomatik chak 24 èdtan rezoud pwoblèm nan nan sètifika ekspire. Nan prensip, kliyan referans dnscrypt-proxy la aksepte sètifika ak nenpòt peryòd validite, men bay yon avètisman "Peryòd kle dnscrypt-proxy pou sèvè sa a twò lontan" si li valab pou plis pase 24 èdtan. An menm tan an, yo te pibliye yon imaj Docker, kote yo te aplike yon chanjman rapid nan kle (ak sètifika).
Premyèman, li trè itil pou sekirite: si sèvè a konpwomèt oswa kle a koule, Lè sa a, trafik yè a pa ka dechifre. Kle a te deja chanje. Sa a pral gen anpil chans poze yon pwoblèm pou aplikasyon an nan Lwa Yarovaya, ki fòse founisè yo estoke tout trafik, ki gen ladan trafik chiffres. Enplikasyon an se ke li ka pita dwe dechifre si sa nesesè lè w mande kle a nan sit la. Men, nan ka sa a, sit la tou senpleman pa ka bay li, paske li itilize kle kout tèm, efase ansyen yo.
Men, sa ki pi enpòtan, Denis ekri, kle kout tèm fòse sèvè yo mete kanpe automatisation depi premye jou. Si sèvè a konekte ak rezo a ak scripts chanjman kle yo pa configuré oswa pa travay, sa a pral detekte imedyatman.
Lè automatisation chanje kle yo chak kèk ane, li pa ka konte sou li, ak moun ka bliye sou ekspirasyon sètifika. Si ou chanje kle yo chak jou, sa a pral detekte imedyatman.
An menm tan an, si automatisation se configuré nòmalman, Lè sa a, li pa enpòtan konbyen fwa kle yo chanje: chak ane, chak trimès oswa twa fwa pa jou. Si tout bagay ap travay pou plis pase 24 èdtan, li pral travay pou tout tan, Frank Denis ekri. Dapre li, rekòmandasyon an nan wotasyon kle chak jou nan dezyèm vèsyon an nan pwotokòl la, ansanm ak yon imaj ki pare Docker ki aplike li, efektivman redwi kantite sèvè ak sètifika ekspire, pandan y ap amelyore sekirite.
Sepandan, kèk founisè toujou deside, pou kèk rezon teknik, yo mete peryòd validite sètifika a plis pase 24 èdtan. Pwoblèm sa a te rezoud lajman ak kèk liy kòd nan dnscrypt-proxy: itilizatè yo resevwa yon avètisman enfòmasyon 30 jou anvan sètifika a ekspire, yon lòt mesaj ki gen yon nivo severite ki pi wo 7 jou anvan ekspirasyon, ak yon mesaj kritik si sètifika a gen nenpòt ki rete. validite mwens pase 24 èdtan. Sa a sèlman aplike nan sètifika ki okòmansman gen yon peryòd validite long.
Mesaj sa yo bay itilizatè yo opòtinite pou notifye operatè DNS sou ekspirasyon sètifika pwochen anvan li twò ta.
Petèt si tout itilizatè Firefox te resevwa yon mesaj konsa, yon moun ta pwobableman enfòme devlopè yo epi yo pa ta pèmèt sètifika a ekspire. "Mwen pa sonje yon sèl sèvè DNSCrypt sou lis sèvè DNS piblik ki te gen sètifika li ekspire nan de oswa twa dènye ane yo," ekri Frank Denis. Nan nenpòt ka, li pwobableman pi bon avèti itilizatè yo an premye olye ke enfimite ekstansyon san avètisman.
Sous: www.habr.com