Áður fyrr runnu skírteini oft út vegna þess að endurnýja þurfti þau handvirkt. Fólk einfaldlega gleymdi að gera það. Með tilkomu Let's Encrypt og sjálfvirku uppfærsluferlinu virðist sem vandamálið ætti að vera leyst. En nýlega sýnir að það á í rauninni enn við. Því miður halda skírteini áfram að renna út.
Ef þú misstir af sögunni, á miðnætti 4. maí 2019, hættu næstum allar Firefox viðbætur skyndilega að virka.
Eins og það kom í ljós, varð stórfellda bilunin vegna þess að Mozilla , sem var notað til að skrifa undir framlengingar. Þess vegna voru þau merkt sem „ógild“ og voru ekki staðfest (). Á spjallborðunum, sem lausn, var mælt með því að slökkva á staðfestingu undirskriftar framlengingar í um: config eða að breyta kerfisklukkunni.
Mozilla gaf fljótt út Firefox 66.0.4 plásturinn sem leysir vandamálið með ógilt vottorð og allar viðbætur fara aftur í eðlilegt horf. Hönnuðir mæla með því að setja það upp og engar lausnir til að komast framhjá undirskriftarstaðfestingu vegna þess að þær geta stangast á við plásturinn.
Hins vegar sýnir þessi saga enn og aftur að fyrning skírteina er enn brýnt mál í dag.
Í þessu sambandi er áhugavert að skoða frekar frumlegan hátt hvernig samskiptareglur verktaki tókst á við þetta verkefni . Lausn þeirra má skipta í tvo hluta. Í fyrsta lagi eru þetta skammtímavottorð. Í öðru lagi að vara notendur við því að langtímarnir renna út.
DNSCrypt
DNSCrypt er dulkóðunarsamskiptareglur fyrir DNS umferð. Það verndar DNS samskipti fyrir hlerunum og MiTM, og gerir þér einnig kleift að komast framhjá lokun á DNS fyrirspurnarstigi.
Samskiptareglurnar umlykja DNS-umferð milli biðlara og netþjóns í dulmálsgerð, sem starfar yfir UDP og TCP flutningssamskiptareglur. Til að nota það verða bæði viðskiptavinurinn og DNS lausnarinn að styðja DNSCrypt. Til dæmis, síðan í mars 2016, hefur það verið virkt á DNS netþjónum sínum og í Yandex vafranum. Nokkrir aðrir veitendur hafa einnig tilkynnt um stuðning, þar á meðal Google og Cloudflare. Því miður eru þeir ekki margir (152 opinberir DNS netþjónar eru skráðir á opinberu vefsíðunni). En prógrammið hægt að setja upp handvirkt á Linux, Windows og MacOS viðskiptavinum. Það eru líka .
Hvernig virkar DNSCrypt? Í stuttu máli, viðskiptavinurinn tekur opinbera lykil valda þjónustuveitunnar og notar hann til að staðfesta vottorð sín. Skammtíma opinberu lyklarnir fyrir lotuna og auðkenni dulkóðunarsvítu eru þegar til staðar. Viðskiptavinir eru hvattir til að búa til nýjan lykil fyrir hverja beiðni og netþjónar eru hvattir til að breyta lyklum á 24 tíma fresti. Þegar skipt er um lykla er X25519 reikniritið notað, fyrir undirskrift - EdDSA, fyrir dulkóðun blokkar - XSalsa20-Poly1305 eða XChaCha20-Poly1305.
Einn af samskiptareglunum Frank Denis að sjálfvirk skipti á sólarhrings fresti leysti vandamálið með útrunnið skírteini. Í grundvallaratriðum tekur dnscrypt-proxy tilvísunarbiðlarinn við vottorðum með hvaða gildistíma sem er, en gefur út viðvörun „Dnscrypt-proxy lykiltímabilið fyrir þennan netþjón er of langt“ ef það gildir í meira en 24 klukkustundir. Á sama tíma var gefin út Docker mynd, þar sem fljótleg breyting á lyklum (og skírteinum) var innleidd.
Í fyrsta lagi er það mjög gagnlegt fyrir öryggi: ef miðlarinn er í hættu eða lykillinn lekur, þá er ekki hægt að afkóða umferð gærdagsins. Lykillinn hefur þegar breyst. Þetta mun líklega skapa vandamál fyrir innleiðingu Yarovaya-laganna, sem neyðir veitendur til að geyma alla umferð, þar með talið dulkóðaða umferð. Merkingin er sú að síðar er hægt að afkóða það ef nauðsyn krefur með því að biðja um lykilinn af síðunni. En í þessu tilviki getur vefsvæðið einfaldlega ekki veitt það, vegna þess að það notar skammtímalykla, eyðir gömlum.
En mikilvægast, skrifar Denis, skammtímalyklar neyða netþjóna til að setja upp sjálfvirkni frá fyrsta degi. Ef þjónninn tengist netinu og lykilbreytingarforskriftirnar eru ekki stilltar eða virkar ekki, verður þetta greint strax.
Þegar sjálfvirkni skiptir um lykla á nokkurra ára fresti er ekki hægt að treysta á það og fólk getur gleymt því að vottorðið rennur út. Ef þú skiptir um lykla daglega mun þetta uppgötvast samstundis.
Á sama tíma, ef sjálfvirkni er stillt venjulega, þá skiptir ekki máli hversu oft lyklunum er breytt: á hverju ári, á ársfjórðungi eða þrisvar sinnum á dag. Ef allt virkar í meira en 24 klukkustundir mun það virka að eilífu, skrifar Frank Denis. Samkvæmt honum fækkaði tilmælum um daglega snúning lykla í annarri útgáfu samskiptareglunnar, ásamt tilbúinni Docker mynd sem útfærir hana, fjölda netþjóna með útrunnið vottorð, en bættu um leið öryggi.
Sumir veitendur ákváðu samt, af einhverjum tæknilegum ástæðum, að stilla gildistíma skírteina í meira en 24 klukkustundir. Þetta vandamál var að mestu leyst með nokkrum línum af kóða í dnscrypt-proxy: notendur fá upplýsingaviðvörun 30 dögum áður en skírteinið rennur út, önnur skilaboð með hærra alvarleikastigi 7 dögum áður en það rennur út og mikilvæg skilaboð ef vottorðið hefur einhver eftir. gildistími minna en 24 klst. Þetta á aðeins við um skírteini sem hafa langan gildistíma í upphafi.
Þessi skilaboð gefa notendum tækifæri til að tilkynna DNS rekstraraðilum um yfirvofandi útrunn vottorðs áður en það er of seint.
Kannski ef allir Firefox notendur fengju slík skilaboð, þá myndi einhver líklega láta hönnuði vita og þeir myndu ekki leyfa vottorðinu að renna út. „Ég man ekki eftir einum DNSCrypt netþjóni á listanum yfir opinbera DNS netþjóna sem hefur fengið vottorðið sitt útrunnið á síðustu tveimur eða þremur árum,“ skrifar Frank Denis. Í öllum tilvikum er líklega betra að vara notendur við fyrst frekar en að slökkva á viðbótum án viðvörunar.
Heimild: www.habr.com