Berê, sertîfîka bi gelemperî qediya ji ber ku diviyabû ku ew bi destan werin nûve kirin. Mirov bi tenê ji bîr kir ku wê bikin. Bi hatina Let's Encrypt û prosedûra nûvekirina otomatîkî re, wusa dixuye ku divê pirsgirêk were çareser kirin. Lê dawî nîşan dide ku ew, bi rastî, hîn jî têkildar e. Mixabin, sertîfîka berdewam dikin.
Ger we çîrok ji bîr kir, nîvê şevê 4ê Gulana 2019-an, hema hema hemî pêvekên Firefox ji nişka ve ji kar sekinîn.
Wekî ku derket holê, têkçûnek mezin ji ber rastiya ku Mozilla pêk hat , ya ku ji bo îmzekirina dirêjkirinan dihat bikaranîn. Ji ber vê yekê, ew wekî "nederbasdar" hatin nîşankirin û nehatin piştrast kirin (). Li ser foruman, wekî çareseriyek, hate pêşniyar kirin ku verastkirina îmzeya dirêjkirinê neçalak bike about: config an guhertina demjimêra pergalê.
Mozilla tavilê peşka Firefox 66.0.4 derxist, ku pirsgirêkê bi sertîfîkayek nederbasdar çareser dike, û hemî pêvekirin vedigerin rewşa normal. Pêşdebiran pêşniyar dikin ku wê saz bikin û ti rêgir tune ku verastkirina îmzeyê derbas bike ji ber ku dibe ku ew bi patchê re nakokî bin.
Lêbelê, ev çîrok careke din nîşan dide ku qediya sertîfîkayê îro pirsgirêkek giran dimîne.
Di vî warî de, balkêş e ku meriv bi rengek orîjînal binihêre ka pêşdebirên protokolê çawa bi vî karî re mijûl bûne . Çareseriya wan dikare bibe du beş. Ya yekem, ev sertîfîkayên kurt-kurt in. Ya duyemîn, hişyarkirina bikarhêneran di derbarê bidawîbûna yên demdirêj de.
DNSCrypt
DNSCrypt protokola şîfrekirina trafîkê ya DNS ye. Ew danûstendinên DNS ji destgirtin û MiTM diparêze, û di heman demê de dihêle hûn di asta lêpirsîna DNS-ê de astengkirinê jî derbas bikin.
Protokol seyrûsefera DNS-ê di navbera xerîdar û serverê de di avahiyek krîptografîk de dipêçe, li ser protokolên veguheztina UDP û TCP-ê dixebite. Ji bo ku wê bikar bînin, hem xerîdar û hem jî çareserkerê DNS divê DNSCrypt piştgirî bikin. Mînakî, ji Adara 2016-an vir ve, ew li ser serverên xwe yên DNS û di geroka Yandex de çalak bûye. Gelek pêşkêşkerên din jî piştgirî ragihandine, di nav de Google û Cloudflare. Mixabin, ne pir ji wan in (152 pêşkêşkerên DNS yên gelemperî li ser malpera fermî têne navnîş kirin). Lê bername dikare bi destan li ser xerîdarên Linux, Windows û MacOS were saz kirin. Her weha hene .
DNSCrypt çawa dixebite? Bi kurtasî, xerîdar mifteya giştî ya pêşkêşvanê hilbijartî digire û wê bikar tîne da ku sertîfîkayên xwe verast bike. Mifteyên giştî yên kurt-kurt ên ji bo danişînê û nasnavê şîfreya şîfreyê jixwe li wir in. Xerîdar têne teşwîq kirin ku ji bo her daxwazê mifteyek nû biafirînin, û pêşkêşker têne teşwîq kirin ku bişkojan biguhezînin her 24 saetan. Dema ku bişkojkan veguhezînin, algorîtmaya X25519 tê bikar anîn, ji bo îmzekirinê - EdDSA, ji bo şîfrekirina blokê - XSalsa20-Poly1305 an XChaCha20-Poly1305.
Yek ji pêşdebirên protokolê Frank Denis ew guhertina otomatîkî her 24 demjimêran pirsgirêka sertîfîkayên qediyayî çareser kir. Di prensîbê de, muwekîlê referansa dnscrypt-proxy sertîfîkayên bi her heyama derbasdariyê qebûl dike, lê heke ew ji 24 demjimêran zêdetir derbasdar be hişyariyek dide "Dema mifteya dnscrypt-proxy ji bo vê serverê pir dirêj e". Di heman demê de, wêneyek Docker hate berdan, ku tê de guherînek bilez a keys (û sertîfîkayan) hate bicîh kirin.
Pêşîn, ew ji bo ewlehiyê zehf bikêr e: heke server têkeve yan jî mifteyê derdixe, wê hingê seyrûsefera duh nayê deşîfrekirin. Mifteya berê hatiye guhertin. Ev îhtîmal e ku pirsgirêkek ji bo pêkanîna Qanûna Yarovaya, ku pêşkêşvanan neçar dike ku hemî seyrûseferê, tevî seyrûsefera şîfrekirî, hilînin. Wateya wê ev e ku ger hewce be bi daxwaza mifteyê ji malperê ew paşê were deşîfre kirin. Lê di vê rewşê de, malper bi hêsanî nikare wê peyda bike, ji ber ku ew mifteyên kurt-kurt bikar tîne, yên kevin jê dike.
Lê ya herî girîng, Denis dinivîse, mifteyên kurt-kurt serveran neçar dikin ku ji roja yekem de otomasyonê saz bikin. Ger server bi torê ve girêdide û skrîptên guheztina mifteyê nehatine mîheng kirin an nexebitin, ev ê tavilê were tespît kirin.
Gava ku otomasyon her çend salan carekê bişkojan diguhezîne, meriv nikare pê ve girêdayî be, û mirov dikare qediya sertîfîkayê ji bîr bike. Heke hûn rojane bişkojkan biguhezînin, ev ê tavilê were tespît kirin.
Di heman demê de, heke otomasyon bi gelemperî were mîheng kirin, wê hingê ne girîng e ka çend caran kilît têne guhertin: her sal, her çaryek an rojê sê caran. Ger her tişt ji 24 demjimêran zêdetir bixebite, ew ê her û her bixebite, Frank Denis dinivîse. Li gorî wî, pêşniyara zivirîna rojane ya mifteyê di guhertoya duyemîn a protokolê de, ligel wêneyek amade-Docker ku wê bicîh tîne, bi bandor hejmara serverên bi sertîfîkayên qediyayî kêm kir, di heman demê de ewlehî jî baştir kir.
Lêbelê, hin pêşkêşvan hîn jî, ji ber hin sedemên teknîkî, biryar dan ku heyama derbasbûna sertîfîkayê ji 24 demjimêran zêdetir destnîşan bikin. Ev pirsgirêk bi giranî bi çend rêzikên kodê di dnscrypt-proxy de hate çareser kirin: bikarhêner 30 roj beriya bidawîbûna sertîfîkayê hişyariyek agahdarî digirin, 7 roj beriya bidawîbûnê peyamek din bi astek tundî ya bilindtir digirin, û heke sertîfîkayê mayî hebe peyamek krîtîk. derbasdar kêmtir ji 24 saetan. Ev tenê ji bo sertîfîkayên ku di destpêkê de demek derbasdariyek dirêj e derbas dibe.
Van peyaman fersendê dide bikarhêneran ku berî ku pir dereng be, operatorên DNS-ê ji qedandina sertîfîkayê ya nêzîk agahdar bikin.
Dibe ku ger hemî bikarhênerên Firefox-ê peyamek weha wergirin, wê hingê dibe ku kesek pêşdebiran agahdar bike û ew destûr nedin ku sertîfîka biqede. Frank Denis dinivîse: "Ez yek serverek DNSCrypt di navnîşa pêşkêşkerên DNS-ya gelemperî de ku di van du-sê salên dawî de sertîfîkaya wê qediyaye, nayê bîra min." Di her rewşê de, belkî çêtir e ku meriv pêşî li bikarhêneran hişyar bike ne ku pêvek bêyî hişyariyê neçalak bike.
Source: www.habr.com