Бұрын сертификаттардың мерзімі жиі аяқталатын, себебі оларды қолмен жаңарту керек болды. Адамдар мұны істеуді ұмытып кетті. Let's Encrypt және автоматты жаңарту процедурасының пайда болуымен мәселені шешу керек сияқты. Бірақ жақында шын мәнінде әлі де өзекті екенін көрсетеді. Өкінішке орай, сертификаттардың мерзімі аяқталады.
Егер сіз оқиғаны өткізіп алсаңыз, 4 жылдың 2019 мамырында түн ортасында барлық дерлік Firefox кеңейтімдері кенеттен жұмысын тоқтатты.
Белгілі болғандай, жаппай сәтсіздік Mozilla-ға байланысты болды , ол кеңейтімдерге қол қою үшін пайдаланылды. Сондықтан олар «жарамсыз» деп белгіленіп, тексерілмеді (). Форумдарда уақытша шешім ретінде кеңейтілген қолтаңбаны тексеруді өшіру ұсынылды туралы: config немесе жүйелік сағатты өзгерту.
Mozilla Firefox 66.0.4 патчын тез шығарды, ол жарамсыз сертификатпен мәселені шешеді және барлық кеңейтімдер қалыпты жағдайға оралады. Әзірлеушілер оны орнатуды ұсынады және қолтаңбаны тексеруді айналып өту үшін уақытша шешімдер жоқ, себебі олар патчқа қайшы келуі мүмкін.
Дегенмен, бұл оқиға сертификаттың жарамдылық мерзімі бүгінгі күннің өзекті мәселесі болып қала беретінін тағы бір рет көрсетеді.
Осыған байланысты, хаттаманы әзірлеушілер бұл тапсырманы қалай шешкенінің өзіндік әдісін қарау қызықты . Олардың шешімін екі бөлікке бөлуге болады. Біріншіден, бұл қысқа мерзімді сертификаттар. Екіншіден, пайдаланушыларды ұзақ мерзімді пайдалану мерзімінің аяқталуы туралы ескерту.
DNSCrypt
DNSCrypt – DNS трафикті шифрлау протоколы. Ол DNS байланыстарын ұстап алудан және MiTM-ден қорғайды, сонымен қатар DNS сұрау деңгейінде блоктауды айналып өтуге мүмкіндік береді.
Протокол клиент пен сервер арасындағы DNS трафигін UDP және TCP тасымалдау протоколдары арқылы жұмыс істейтін криптографиялық құрылымға қосады. Оны пайдалану үшін клиент де, DNS шешушісі де DNSCrypt-ті қолдауы керек. Мысалы, 2016 жылдың наурыз айынан бастап ол DNS серверлерінде және Яндекс браузерінде қосылды. Бірнеше басқа провайдерлер де қолдау жариялады, соның ішінде Google және Cloudflare. Өкінішке орай, олардың саны көп емес (ресми веб-сайтта 152 жалпы DNS серверлері көрсетілген). Бірақ бағдарлама Linux, Windows және MacOS клиенттеріне қолмен орнатуға болады. Сондай-ақ бар .
DNSCrypt қалай жұмыс істейді? Қысқасы, клиент таңдалған провайдердің ашық кілтін алады және оның сертификаттарын тексеру үшін пайдаланады. Сеанстың қысқа мерзімді ашық кілттері және шифрлар жиынтығының идентификаторы қазірдің өзінде бар. Клиенттерге әрбір сұрау үшін жаңа кілт жасау ұсынылады, ал серверлер кілттерді өзгертуге шақырылады әр 24 сағат сайын. Кілттермен алмасу кезінде X25519 алгоритмі қолданылады, қол қою үшін - EdDSA, блоктық шифрлау үшін - XSalsa20-Poly1305 немесе XChaCha20-Poly1305.
Протокол жасаушылардың бірі Фрэнк Денис 24 сағат сайын автоматты түрде ауыстыру мерзімі өтіп кеткен сертификаттар мәселесін шешкен. Негізінде, dnscrypt-прокси анықтамалық клиенті кез келген жарамдылық мерзімі бар сертификаттарды қабылдайды, бірақ ол 24 сағаттан астам жарамды болса, "Осы серверге арналған dnscrypt-прокси кілтінің мерзімі тым ұзақ" деген ескерту береді. Сонымен бірге Docker кескіні шығарылды, онда кілттерді (және сертификаттарды) жылдам өзгерту жүзеге асырылды.
Біріншіден, бұл қауіпсіздік үшін өте пайдалы: егер сервер бұзылса немесе кілт ағып кетсе, кешегі трафиктің шифрын шешу мүмкін емес. Кілт әлдеқашан өзгерді. Бұл провайдерлерді барлық трафикті, соның ішінде шифрланған трафикті сақтауға мәжбүр ететін Яровая заңын жүзеге асыруда қиындық тудыруы мүмкін. Бұдан шығатын қорытынды, қажет болған жағдайда сайттан кілтті сұрау арқылы оның шифрын ашуға болады. Бірақ бұл жағдайда сайт оны қамтамасыз ете алмайды, өйткені ол ескі кілттерді жоя отырып, қысқа мерзімді кілттерді пайдаланады.
Бірақ ең бастысы, қысқа мерзімді кілттер серверлерді бірінші күннен автоматтандыруды орнатуға мәжбүрлейді, деп жазады Денис. Сервер желіге қосылса және кілтті өзгерту сценарийлері конфигурацияланбаса немесе жұмыс істемесе, бұл бірден анықталады.
Автоматтандыру кілттерді бірнеше жыл сайын өзгерткенде, оған сенуге болмайды және адамдар сертификаттың жарамдылық мерзімі туралы ұмытып кетуі мүмкін. Егер сіз пернелерді күнделікті ауыстырсаңыз, бұл бірден анықталады.
Сонымен қатар, егер автоматтандыру қалыпты түрде конфигурацияланса, онда кілттердің қаншалықты жиі ауыстырылатыны маңызды емес: жыл сайын, тоқсан сайын немесе күніне үш рет. Егер бәрі 24 сағаттан артық жұмыс істесе, ол мәңгі жұмыс істейді, деп жазады Фрэнк Денис. Оның айтуынша, хаттаманың екінші нұсқасында кілттерді күнделікті айналдыру туралы ұсыныс оны жүзеге асыратын дайын Docker кескінімен бірге бір мезгілде қауіпсіздікті жақсарта отырып, мерзімі өткен сертификаттары бар серверлер санын тиімді қысқартты.
Дегенмен, кейбір провайдерлер әлі де кейбір техникалық себептерге байланысты сертификаттың жарамдылық мерзімін 24 сағаттан астам уақытқа орнатуды шешті. Бұл мәселе негізінен dnscrypt-proxy жүйесіндегі кодтың бірнеше жолы арқылы шешілді: пайдаланушылар сертификаттың мерзімі аяқталуға 30 күн қалғанда ақпараттық ескерту алады, жарамдылық мерзімі аяқталуға 7 күн қалғанда маңыздылығы жоғарырақ басқа хабарды және сертификатта қалған болса, маңызды хабарды алады. жарамдылық мерзімі 24 сағаттан аз. Бұл бастапқыда ұзақ әрекет ету мерзімі бар сертификаттарға ғана қатысты.
Бұл хабарлар пайдаланушыларға тым кеш болмай тұрып DNS операторларына сертификаттың жарамдылық мерзімінің аяқталуы туралы хабарлау мүмкіндігін береді.
Мүмкін, егер барлық Firefox пайдаланушылары осындай хабарлама алса, біреу әзірлеушілерге хабарлауы мүмкін және олар сертификаттың мерзімінің аяқталуына жол бермеуі мүмкін. «Соңғы екі-үш жылда сертификатының мерзімі біткен қоғамдық DNS серверлерінің тізімінде бір DNSCrypt сервері есімде жоқ», - деп жазады Фрэнк Денис. Қалай болғанда да, ескертусіз кеңейтімдерді өшірмей, алдымен пайдаланушыларды ескерткен дұрыс.
Ақпарат көзі: www.habr.com