Ing jaman biyen, sertifikat asring kadaluwarsa amarga kudu dianyarake kanthi manual. Wong mung lali nglakoni. Kanthi tekane Ayo Encrypt lan prosedur nganyari otomatis, misale jek masalah kudu ditanggulangi. Nanging bubar
Yen sampeyan ora kejawab crita kasebut, ing tengah wengi tanggal 4 Mei 2019, meh kabeh ekstensi Firefox dumadakan mandheg.
Ternyata, kegagalan gedhe amarga kasunyatane Mozilla
Mozilla enggal-enggal ngeculake patch Firefox 66.0.4, sing ngrampungake masalah karo sertifikat sing ora bener, lan kabeh ekstensi bali menyang normal. Pangembang nyaranake nginstal lan
Nanging, crita iki maneh nuduhake yen kadaluwarsa sertifikat tetep dadi masalah sing penting saiki.
Ing babagan iki, menarik kanggo ndeleng cara sing rada asli kepiye para pangembang protokol nangani tugas iki
DNSCrypt
DNSCrypt minangka protokol enkripsi lalu lintas DNS. Iki nglindhungi komunikasi DNS saka interceptions lan MiTM, lan uga ngidini sampeyan ngliwati pamblokiran ing tingkat pitakon DNS.
Protokol kasebut mbungkus lalu lintas DNS ing antarane klien lan server kanthi konstruksi kriptografi, ngoperasikake protokol transportasi UDP lan TCP. Kanggo nggunakake, klien lan solver DNS kudu ndhukung DNSCrypt. Contone, wiwit Maret 2016, wis diaktifake ing server DNS lan ing browser Yandex. Sawetara panyedhiya liyane uga wis ngumumake dhukungan, kalebu Google lan Cloudflare. Sayange, ora akeh (152 server DNS umum kadhaptar ing situs web resmi). Nanging program
Kepiye cara kerja DNSCrypt? Ing cendhak, klien njupuk kunci umum panyedhiya sing dipilih lan digunakake kanggo verifikasi sertifikat. Tombol umum jangka pendek kanggo sesi lan pengenal suite cipher wis ana. Klien dianjurake kanggo ngasilake kunci anyar kanggo saben panyuwunan, lan server dianjurake kanggo ngganti tombol saben 24 jam. Nalika ngganti kunci, algoritma X25519 digunakake, kanggo mlebu - EdDSA, kanggo enkripsi blok - XSalsa20-Poly1305 utawa XChaCha20-Poly1305.
Salah sawijining pangembang protokol Frank Denis
Kaping pisanan, migunani banget kanggo keamanan: yen server dikompromi utawa kunci bocor, lalu lintas wingi ora bisa didekripsi. Tombol wis diganti. Iki bakal nyebabake masalah kanggo implementasine Hukum Yarovaya, sing meksa panyedhiya nyimpen kabeh lalu lintas, kalebu lalu lintas sing dienkripsi. Implikasi kasebut yaiku mengko bisa didekripsi yen perlu kanthi njaluk kunci saka situs kasebut. Nanging ing kasus iki, situs kasebut mung ora bisa nyedhiyakake, amarga nggunakake kunci jangka pendek, mbusak sing lawas.
Nanging sing paling penting, Denis nulis, kunci jangka pendek meksa server nyiyapake otomatisasi wiwit dina. Yen server nyambung menyang jaringan lan skrip pangowahan tombol ora dikonfigurasi utawa ora bisa digunakake, iki bakal langsung dideteksi.
Nalika otomatis ngganti tombol saben sawetara taun, iku ora bisa dipercaya, lan wong bisa lali bab kadaluwarsa certificate. Yen sampeyan ngganti tombol saben dina, iki bakal langsung dideteksi.
Ing wektu sing padha, yen otomatis dikonfigurasi kanthi normal, mula ora ketompo sepira kerepe kunci diganti: saben taun, saben waktu utawa kaping telu dina. Yen kabeh bisa luwih saka 24 jam, bakal bisa digunakake ing salawas-lawase, nyerat Frank Denis. Miturut dheweke, rekomendasi rotasi tombol saben dina ing versi kapindho protokol, bebarengan karo gambar Docker sing wis siap, kanthi efektif nyuda jumlah server kanthi sertifikat sing wis kadaluwarsa, lan uga nambah keamanan.
Nanging, sawetara panyedhiya isih mutusake, amarga sawetara alasan teknis, nyetel wektu validitas sertifikat luwih saka 24 jam. Masalah iki umume ditanggulangi kanthi sawetara baris kode ing dnscrypt-proxy: pangguna nampa bebaya informasi 30 dina sadurunge sertifikat kadaluwarsa, pesen liyane kanthi tingkat keruwetan sing luwih dhuwur 7 dina sadurunge kadaluwarsa, lan pesen kritis yen sertifikat isih ana. validitas kurang saka 24 jam. Iki mung ditrapake kanggo sertifikat sing wiwitane duwe wektu validitas sing dawa.
Pesen kasebut menehi pangguna kesempatan kanggo menehi kabar marang operator DNS babagan kadaluwarsa sertifikat sing bakal teka sadurunge kasep.
Mbok menawa kabeh pangguna Firefox nampa pesen kasebut, mula ana wong sing bakal ngandhani pangembang lan ora bakal ngidini sertifikat kasebut kadaluwarsa. "Aku ora ngelingi server DNSCrypt siji ing dhaptar server DNS umum sing wis kadaluwarsa sertifikat ing rong utawa telung taun kepungkur," tulis Frank Denis. Ing kasus apa wae, luwih becik ngelingake pangguna luwih dhisik tinimbang mateni ekstensi tanpa peringatan.
Source: www.habr.com