Ing jaman biyen, sertifikat asring kadaluwarsa amarga kudu dianyarake kanthi manual. Wong mung lali nglakoni. Kanthi tekane Ayo Encrypt lan prosedur nganyari otomatis, misale jek masalah kudu ditanggulangi. Nanging bubar nuduhake yen iku, ing kasunyatan, isih relevan. Sayange, sertifikat terus kadaluwarsa.
Yen sampeyan ora kejawab crita kasebut, ing tengah wengi tanggal 4 Mei 2019, meh kabeh ekstensi Firefox dumadakan mandheg.
Ternyata, kegagalan gedhe amarga kasunyatane Mozilla , sing digunakake kanggo mlebu ekstensi. Mula, dheweke ditandhani minangka "ora sah" lan ora diverifikasi (). Ing forum, minangka solusi, disaranake mateni verifikasi teken ekstensi ing babagan: config utawa ngganti jam sistem.
Mozilla enggal-enggal ngeculake patch Firefox 66.0.4, sing ngrampungake masalah karo sertifikat sing ora bener, lan kabeh ekstensi bali menyang normal. Pangembang nyaranake nginstal lan ora ana workarounds kanggo lulus verifikasi teken amarga padha bisa konflik karo tembelan.
Nanging, crita iki maneh nuduhake yen kadaluwarsa sertifikat tetep dadi masalah sing penting saiki.
Ing babagan iki, menarik kanggo ndeleng cara sing rada asli kepiye para pangembang protokol nangani tugas iki . Solusi kasebut bisa dipΓ©rang dadi rong bagΓ©an. Kaping pisanan, iki minangka sertifikat jangka pendek. Kapindho, ngelingake pangguna babagan kadaluwarsa jangka panjang.
DNSCrypt
DNSCrypt minangka protokol enkripsi lalu lintas DNS. Iki nglindhungi komunikasi DNS saka interceptions lan MiTM, lan uga ngidini sampeyan ngliwati pamblokiran ing tingkat pitakon DNS.
Protokol kasebut mbungkus lalu lintas DNS ing antarane klien lan server kanthi konstruksi kriptografi, ngoperasikake protokol transportasi UDP lan TCP. Kanggo nggunakake, klien lan solver DNS kudu ndhukung DNSCrypt. Contone, wiwit Maret 2016, wis diaktifake ing server DNS lan ing browser Yandex. Sawetara panyedhiya liyane uga wis ngumumake dhukungan, kalebu Google lan Cloudflare. Sayange, ora akeh (152 server DNS umum kadhaptar ing situs web resmi). Nanging program bisa diinstal kanthi manual ing klien Linux, Windows lan MacOS. Ana uga .
Kepiye cara kerja DNSCrypt? Ing cendhak, klien njupuk kunci umum panyedhiya sing dipilih lan digunakake kanggo verifikasi sertifikat. Tombol umum jangka pendek kanggo sesi lan pengenal suite cipher wis ana. Klien dianjurake kanggo ngasilake kunci anyar kanggo saben panyuwunan, lan server dianjurake kanggo ngganti tombol saben 24 jam. Nalika ngganti kunci, algoritma X25519 digunakake, kanggo mlebu - EdDSA, kanggo enkripsi blok - XSalsa20-Poly1305 utawa XChaCha20-Poly1305.
Salah sawijining pangembang protokol Frank Denis panggantos otomatis saben 24 jam ngatasi masalah sertifikat kadaluwarsa. Ing asas, klien referensi dnscrypt-proxy nampa sertifikat karo sembarang periode validitas, nanging menehi bebaya "Jam dnscrypt-proxy kanggo server iki dawa banget" yen bener luwih saka 24 jam. Ing wektu sing padha, gambar Docker dirilis, ing ngendi owah-owahan cepet tombol (lan sertifikat) ditindakake.
Kaping pisanan, migunani banget kanggo keamanan: yen server dikompromi utawa kunci bocor, lalu lintas wingi ora bisa didekripsi. Tombol wis diganti. Iki bakal nyebabake masalah kanggo implementasine Hukum Yarovaya, sing meksa panyedhiya nyimpen kabeh lalu lintas, kalebu lalu lintas sing dienkripsi. Implikasi kasebut yaiku mengko bisa didekripsi yen perlu kanthi njaluk kunci saka situs kasebut. Nanging ing kasus iki, situs kasebut mung ora bisa nyedhiyakake, amarga nggunakake kunci jangka pendek, mbusak sing lawas.
Nanging sing paling penting, Denis nulis, kunci jangka pendek meksa server nyiyapake otomatisasi wiwit dina. Yen server nyambung menyang jaringan lan skrip pangowahan tombol ora dikonfigurasi utawa ora bisa digunakake, iki bakal langsung dideteksi.
Nalika otomatis ngganti tombol saben sawetara taun, iku ora bisa dipercaya, lan wong bisa lali bab kadaluwarsa certificate. Yen sampeyan ngganti tombol saben dina, iki bakal langsung dideteksi.
Ing wektu sing padha, yen otomatis dikonfigurasi kanthi normal, mula ora ketompo sepira kerepe kunci diganti: saben taun, saben waktu utawa kaping telu dina. Yen kabeh bisa luwih saka 24 jam, bakal bisa digunakake ing salawas-lawase, nyerat Frank Denis. Miturut dheweke, rekomendasi rotasi tombol saben dina ing versi kapindho protokol, bebarengan karo gambar Docker sing wis siap, kanthi efektif nyuda jumlah server kanthi sertifikat sing wis kadaluwarsa, lan uga nambah keamanan.
Nanging, sawetara panyedhiya isih mutusake, amarga sawetara alasan teknis, nyetel wektu validitas sertifikat luwih saka 24 jam. Masalah iki umume ditanggulangi kanthi sawetara baris kode ing dnscrypt-proxy: pangguna nampa bebaya informasi 30 dina sadurunge sertifikat kadaluwarsa, pesen liyane kanthi tingkat keruwetan sing luwih dhuwur 7 dina sadurunge kadaluwarsa, lan pesen kritis yen sertifikat isih ana. validitas kurang saka 24 jam. Iki mung ditrapake kanggo sertifikat sing wiwitane duwe wektu validitas sing dawa.
Pesen kasebut menehi pangguna kesempatan kanggo menehi kabar marang operator DNS babagan kadaluwarsa sertifikat sing bakal teka sadurunge kasep.
Mbok menawa kabeh pangguna Firefox nampa pesen kasebut, mula ana wong sing bakal ngandhani pangembang lan ora bakal ngidini sertifikat kasebut kadaluwarsa. "Aku ora ngelingi server DNSCrypt siji ing dhaptar server DNS umum sing wis kadaluwarsa sertifikat ing rong utawa telung taun kepungkur," tulis Frank Denis. Ing kasus apa wae, luwih becik ngelingake pangguna luwih dhisik tinimbang mateni ekstensi tanpa peringatan.
Source: www.habr.com