ಹಿಂದೆ, ಪ್ರಮಾಣಪತ್ರಗಳು ಹೆಚ್ಚಾಗಿ ಅವಧಿ ಮೀರುತ್ತಿದ್ದವು ಏಕೆಂದರೆ ಅವುಗಳನ್ನು ಕೈಯಾರೆ ನವೀಕರಿಸಬೇಕಾಗಿತ್ತು. ಜನರು ಅದನ್ನು ಮಾಡಲು ಮರೆತಿದ್ದಾರೆ. ಲೆಟ್ಸ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಮತ್ತು ಸ್ವಯಂಚಾಲಿತ ನವೀಕರಣ ಕಾರ್ಯವಿಧಾನದ ಆಗಮನದೊಂದಿಗೆ, ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಬೇಕು ಎಂದು ತೋರುತ್ತದೆ. ಆದರೆ ಇತ್ತೀಚಿನ
ನೀವು ಕಥೆಯನ್ನು ತಪ್ಪಿಸಿಕೊಂಡರೆ, ಮೇ 4, 2019 ರ ಮಧ್ಯರಾತ್ರಿಯಲ್ಲಿ, ಬಹುತೇಕ ಎಲ್ಲಾ ಫೈರ್ಫಾಕ್ಸ್ ವಿಸ್ತರಣೆಗಳು ಇದ್ದಕ್ಕಿದ್ದಂತೆ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದನ್ನು ನಿಲ್ಲಿಸುತ್ತವೆ.
ಅದು ಬದಲಾದಂತೆ, ಮೊಜಿಲ್ಲಾ ಎಂಬ ಕಾರಣದಿಂದಾಗಿ ಭಾರಿ ವೈಫಲ್ಯ ಸಂಭವಿಸಿದೆ
ಮೊಜಿಲ್ಲಾ ತಕ್ಷಣವೇ ಫೈರ್ಫಾಕ್ಸ್ 66.0.4 ಪ್ಯಾಚ್ ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿತು, ಇದು ಅಮಾನ್ಯ ಪ್ರಮಾಣಪತ್ರದೊಂದಿಗೆ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸುತ್ತದೆ ಮತ್ತು ಎಲ್ಲಾ ವಿಸ್ತರಣೆಗಳು ಸಾಮಾನ್ಯ ಸ್ಥಿತಿಗೆ ಮರಳುತ್ತವೆ. ಅಭಿವರ್ಧಕರು ಅದನ್ನು ಸ್ಥಾಪಿಸಲು ಶಿಫಾರಸು ಮಾಡುತ್ತಾರೆ ಮತ್ತು
ಆದಾಗ್ಯೂ, ಪ್ರಮಾಣಪತ್ರದ ಮುಕ್ತಾಯವು ಇಂದು ಒತ್ತುವ ಸಮಸ್ಯೆಯಾಗಿ ಉಳಿದಿದೆ ಎಂದು ಈ ಕಥೆ ಮತ್ತೊಮ್ಮೆ ತೋರಿಸುತ್ತದೆ.
ಈ ನಿಟ್ಟಿನಲ್ಲಿ, ಪ್ರೋಟೋಕಾಲ್ ಡೆವಲಪರ್ಗಳು ಈ ಕಾರ್ಯವನ್ನು ಹೇಗೆ ವ್ಯವಹರಿಸಿದ್ದಾರೆ ಎಂಬುದನ್ನು ಮೂಲ ರೀತಿಯಲ್ಲಿ ನೋಡಲು ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ
ಡಿಎನ್ಎಸ್ಕ್ರಿಪ್ಟ್
DNSCrypt ಒಂದು DNS ಟ್ರಾಫಿಕ್ ಎನ್ಕ್ರಿಪ್ಶನ್ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿದೆ. ಇದು ಡಿಎನ್ಎಸ್ ಸಂವಹನಗಳನ್ನು ಪ್ರತಿಬಂಧಕಗಳು ಮತ್ತು MiTM ನಿಂದ ರಕ್ಷಿಸುತ್ತದೆ ಮತ್ತು DNS ಪ್ರಶ್ನೆ ಮಟ್ಟದಲ್ಲಿ ನಿರ್ಬಂಧಿಸುವಿಕೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಸಹ ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಪ್ರೋಟೋಕಾಲ್ ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ನಡುವಿನ DNS ಟ್ರಾಫಿಕ್ ಅನ್ನು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ರಚನೆಯಲ್ಲಿ ಸುತ್ತುತ್ತದೆ, UDP ಮತ್ತು TCP ಸಾರಿಗೆ ಪ್ರೋಟೋಕಾಲ್ಗಳ ಮೇಲೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ. ಇದನ್ನು ಬಳಸಲು, ಕ್ಲೈಂಟ್ ಮತ್ತು DNS ಪರಿಹಾರಕ ಎರಡೂ DNSCrypt ಅನ್ನು ಬೆಂಬಲಿಸಬೇಕು. ಉದಾಹರಣೆಗೆ, ಮಾರ್ಚ್ 2016 ರಿಂದ, ಅದರ DNS ಸರ್ವರ್ಗಳಲ್ಲಿ ಮತ್ತು Yandex ಬ್ರೌಸರ್ನಲ್ಲಿ ಇದನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ. Google ಮತ್ತು Cloudflare ಸೇರಿದಂತೆ ಹಲವಾರು ಇತರ ಪೂರೈಕೆದಾರರು ಸಹ ಬೆಂಬಲವನ್ನು ಘೋಷಿಸಿದ್ದಾರೆ. ದುರದೃಷ್ಟವಶಾತ್, ಅವುಗಳಲ್ಲಿ ಹಲವು ಇಲ್ಲ (152 ಸಾರ್ವಜನಿಕ DNS ಸರ್ವರ್ಗಳನ್ನು ಅಧಿಕೃತ ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ಪಟ್ಟಿ ಮಾಡಲಾಗಿದೆ). ಆದರೆ ಕಾರ್ಯಕ್ರಮ
DNSCrypt ಹೇಗೆ ಕೆಲಸ ಮಾಡುತ್ತದೆ? ಸಂಕ್ಷಿಪ್ತವಾಗಿ, ಕ್ಲೈಂಟ್ ಆಯ್ಕೆಮಾಡಿದ ಪೂರೈಕೆದಾರರ ಸಾರ್ವಜನಿಕ ಕೀಲಿಯನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಅದರ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಅದನ್ನು ಬಳಸುತ್ತದೆ. ಸೆಷನ್ಗಾಗಿ ಅಲ್ಪಾವಧಿಯ ಸಾರ್ವಜನಿಕ ಕೀಗಳು ಮತ್ತು ಸೈಫರ್ ಸೂಟ್ ಗುರುತಿಸುವಿಕೆ ಈಗಾಗಲೇ ಇವೆ. ಪ್ರತಿ ವಿನಂತಿಗೆ ಹೊಸ ಕೀಲಿಯನ್ನು ರಚಿಸಲು ಗ್ರಾಹಕರನ್ನು ಪ್ರೋತ್ಸಾಹಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಕೀಗಳನ್ನು ಬದಲಾಯಿಸಲು ಸರ್ವರ್ಗಳನ್ನು ಪ್ರೋತ್ಸಾಹಿಸಲಾಗುತ್ತದೆ ಪ್ರತಿ 24 ಗಂಟೆಗಳಿಗೊಮ್ಮೆ. ಕೀಗಳನ್ನು ವಿನಿಮಯ ಮಾಡುವಾಗ, X25519 ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಸಹಿ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ - EdDSA, ಬ್ಲಾಕ್ ಎನ್ಕ್ರಿಪ್ಶನ್ಗಾಗಿ - XSalsa20-Poly1305 ಅಥವಾ XChaCha20-Poly1305.
ಪ್ರೋಟೋಕಾಲ್ ಡೆವಲಪರ್ಗಳಲ್ಲಿ ಒಬ್ಬರು ಫ್ರಾಂಕ್ ಡೆನಿಸ್
ಮೊದಲನೆಯದಾಗಿ, ಭದ್ರತೆಗೆ ಇದು ಅತ್ಯಂತ ಉಪಯುಕ್ತವಾಗಿದೆ: ಸರ್ವರ್ ರಾಜಿ ಮಾಡಿಕೊಂಡಿದ್ದರೆ ಅಥವಾ ಕೀಲಿಯು ಸೋರಿಕೆಯಾಗಿದ್ದರೆ, ನಿನ್ನೆ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುವುದಿಲ್ಲ. ಕೀಲಿಯು ಈಗಾಗಲೇ ಬದಲಾಗಿದೆ. ಇದು ಯಾರೋವಾಯಾ ಕಾನೂನಿನ ಅನುಷ್ಠಾನಕ್ಕೆ ಸಮಸ್ಯೆಯನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ, ಇದು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಟ್ರಾಫಿಕ್ ಸೇರಿದಂತೆ ಎಲ್ಲಾ ಟ್ರಾಫಿಕ್ ಅನ್ನು ಸಂಗ್ರಹಿಸಲು ಪೂರೈಕೆದಾರರನ್ನು ಒತ್ತಾಯಿಸುತ್ತದೆ. ಸೈಟ್ನಿಂದ ಕೀಲಿಯನ್ನು ವಿನಂತಿಸುವ ಮೂಲಕ ಅಗತ್ಯವಿದ್ದರೆ ಅದನ್ನು ನಂತರ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಬಹುದು ಎಂಬುದು ಇದರ ಅರ್ಥವಾಗಿದೆ. ಆದರೆ ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಸೈಟ್ ಸರಳವಾಗಿ ಅದನ್ನು ಒದಗಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ, ಏಕೆಂದರೆ ಇದು ಅಲ್ಪಾವಧಿಯ ಕೀಗಳನ್ನು ಬಳಸುತ್ತದೆ, ಹಳೆಯದನ್ನು ಅಳಿಸುತ್ತದೆ.
ಆದರೆ ಮುಖ್ಯವಾಗಿ, ಡೆನಿಸ್ ಬರೆಯುತ್ತಾರೆ, ಅಲ್ಪಾವಧಿಯ ಕೀಗಳು ಮೊದಲ ದಿನದಿಂದ ಯಾಂತ್ರೀಕೃತಗೊಂಡ ಸರ್ವರ್ಗಳನ್ನು ಹೊಂದಿಸಲು ಒತ್ತಾಯಿಸುತ್ತವೆ. ಸರ್ವರ್ ನೆಟ್ವರ್ಕ್ಗೆ ಸಂಪರ್ಕಿಸಿದರೆ ಮತ್ತು ಕೀ ಬದಲಾವಣೆ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡದಿದ್ದರೆ ಅಥವಾ ಕಾರ್ಯನಿರ್ವಹಿಸದಿದ್ದರೆ, ಇದನ್ನು ತಕ್ಷಣವೇ ಪತ್ತೆ ಮಾಡಲಾಗುತ್ತದೆ.
ಪ್ರತಿ ಕೆಲವು ವರ್ಷಗಳಿಗೊಮ್ಮೆ ಯಾಂತ್ರೀಕೃತಗೊಂಡ ಕೀಗಳನ್ನು ಬದಲಾಯಿಸಿದಾಗ, ಅದನ್ನು ಅವಲಂಬಿಸಲಾಗುವುದಿಲ್ಲ ಮತ್ತು ಪ್ರಮಾಣಪತ್ರದ ಮುಕ್ತಾಯದ ಬಗ್ಗೆ ಜನರು ಮರೆತುಬಿಡಬಹುದು. ನೀವು ಪ್ರತಿದಿನ ಕೀಗಳನ್ನು ಬದಲಾಯಿಸಿದರೆ, ಇದನ್ನು ತಕ್ಷಣವೇ ಪತ್ತೆ ಮಾಡಲಾಗುತ್ತದೆ.
ಅದೇ ಸಮಯದಲ್ಲಿ, ಆಟೊಮೇಷನ್ ಅನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ್ದರೆ, ಕೀಗಳನ್ನು ಎಷ್ಟು ಬಾರಿ ಬದಲಾಯಿಸಲಾಗುತ್ತದೆ ಎಂಬುದು ಮುಖ್ಯವಲ್ಲ: ಪ್ರತಿ ವರ್ಷ, ಪ್ರತಿ ತ್ರೈಮಾಸಿಕ ಅಥವಾ ದಿನಕ್ಕೆ ಮೂರು ಬಾರಿ. ಎಲ್ಲವೂ 24 ಗಂಟೆಗಳಿಗಿಂತ ಹೆಚ್ಚು ಕಾಲ ಕೆಲಸ ಮಾಡಿದರೆ, ಅದು ಶಾಶ್ವತವಾಗಿ ಕೆಲಸ ಮಾಡುತ್ತದೆ ಎಂದು ಫ್ರಾಂಕ್ ಡೆನಿಸ್ ಬರೆಯುತ್ತಾರೆ. ಅವರ ಪ್ರಕಾರ, ಪ್ರೋಟೋಕಾಲ್ನ ಎರಡನೇ ಆವೃತ್ತಿಯಲ್ಲಿ ದೈನಂದಿನ ಕೀ ತಿರುಗುವಿಕೆಯ ಶಿಫಾರಸು, ಅದನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ರೆಡಿಮೇಡ್ ಡಾಕರ್ ಇಮೇಜ್ನೊಂದಿಗೆ, ಅವಧಿ ಮೀರಿದ ಪ್ರಮಾಣಪತ್ರಗಳೊಂದಿಗೆ ಸರ್ವರ್ಗಳ ಸಂಖ್ಯೆಯನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಕಡಿಮೆ ಮಾಡಿತು, ಅದೇ ಸಮಯದಲ್ಲಿ ಸುರಕ್ಷತೆಯನ್ನು ಸುಧಾರಿಸುತ್ತದೆ.
ಆದಾಗ್ಯೂ, ಕೆಲವು ಪೂರೈಕೆದಾರರು ಇನ್ನೂ ಕೆಲವು ತಾಂತ್ರಿಕ ಕಾರಣಗಳಿಗಾಗಿ ಪ್ರಮಾಣಪತ್ರದ ಮಾನ್ಯತೆಯ ಅವಧಿಯನ್ನು 24 ಗಂಟೆಗಳಿಗಿಂತ ಹೆಚ್ಚು ಕಾಲ ಹೊಂದಿಸಲು ನಿರ್ಧರಿಸಿದ್ದಾರೆ. dnscrypt-proxy ಯಲ್ಲಿನ ಕೆಲವು ಸಾಲುಗಳ ಕೋಡ್ನೊಂದಿಗೆ ಈ ಸಮಸ್ಯೆಯನ್ನು ಬಹುಮಟ್ಟಿಗೆ ಪರಿಹರಿಸಲಾಗಿದೆ: ಪ್ರಮಾಣಪತ್ರದ ಅವಧಿ ಮುಗಿಯುವ 30 ದಿನಗಳ ಮೊದಲು ಬಳಕೆದಾರರು ಮಾಹಿತಿ ಎಚ್ಚರಿಕೆಯನ್ನು ಸ್ವೀಕರಿಸುತ್ತಾರೆ, ಅವಧಿ ಮುಗಿಯುವ 7 ದಿನಗಳ ಮೊದಲು ಹೆಚ್ಚಿನ ತೀವ್ರತೆಯ ಮಟ್ಟವನ್ನು ಹೊಂದಿರುವ ಮತ್ತೊಂದು ಸಂದೇಶ ಮತ್ತು ಪ್ರಮಾಣಪತ್ರವು ಉಳಿದಿದ್ದರೆ ನಿರ್ಣಾಯಕ ಸಂದೇಶವನ್ನು ಪಡೆಯುತ್ತಾರೆ. ಮಾನ್ಯತೆ. 24 ಗಂಟೆಗಳಿಗಿಂತ ಕಡಿಮೆ. ಇದು ಆರಂಭದಲ್ಲಿ ದೀರ್ಘ ಮಾನ್ಯತೆಯ ಅವಧಿಯನ್ನು ಹೊಂದಿರುವ ಪ್ರಮಾಣಪತ್ರಗಳಿಗೆ ಮಾತ್ರ ಅನ್ವಯಿಸುತ್ತದೆ.
ಈ ಸಂದೇಶಗಳು ತುಂಬಾ ತಡವಾಗುವ ಮೊದಲು ಮುಂಬರುವ ಪ್ರಮಾಣಪತ್ರದ ಮುಕ್ತಾಯದ ಕುರಿತು DNS ಆಪರೇಟರ್ಗಳಿಗೆ ತಿಳಿಸಲು ಬಳಕೆದಾರರಿಗೆ ಅವಕಾಶವನ್ನು ನೀಡುತ್ತದೆ.
ಬಹುಶಃ ಎಲ್ಲಾ ಫೈರ್ಫಾಕ್ಸ್ ಬಳಕೆದಾರರು ಅಂತಹ ಸಂದೇಶವನ್ನು ಸ್ವೀಕರಿಸಿದರೆ, ಯಾರಾದರೂ ಬಹುಶಃ ಡೆವಲಪರ್ಗಳಿಗೆ ತಿಳಿಸುತ್ತಾರೆ ಮತ್ತು ಪ್ರಮಾಣಪತ್ರದ ಅವಧಿ ಮುಗಿಯಲು ಅವರು ಅನುಮತಿಸುವುದಿಲ್ಲ. "ಕಳೆದ ಎರಡು ಅಥವಾ ಮೂರು ವರ್ಷಗಳಲ್ಲಿ ಅದರ ಪ್ರಮಾಣಪತ್ರದ ಅವಧಿ ಮುಗಿದ ಸಾರ್ವಜನಿಕ DNS ಸರ್ವರ್ಗಳ ಪಟ್ಟಿಯಲ್ಲಿ ನನಗೆ ಒಂದೇ ಒಂದು DNSCrypt ಸರ್ವರ್ ನೆನಪಿಲ್ಲ" ಎಂದು ಫ್ರಾಂಕ್ ಡೆನಿಸ್ ಬರೆಯುತ್ತಾರೆ. ಯಾವುದೇ ಸಂದರ್ಭದಲ್ಲಿ, ಎಚ್ಚರಿಕೆಯಿಲ್ಲದೆ ವಿಸ್ತರಣೆಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವ ಬದಲು ಬಳಕೆದಾರರನ್ನು ಮೊದಲು ಎಚ್ಚರಿಸುವುದು ಉತ್ತಮವಾಗಿದೆ.
ಮೂಲ: www.habr.com