Мурда күбөлүктөрдүн мөөнөтү көбүнчө кол менен жаңыртылгандыктан, мөөнөтү бүтүп калчу. Адамдар муну жөн эле унутуп коюшту. Let's Encrypt жана автоматтык жаңыртуу процедурасынын пайда болушу менен көйгөй чечилиши керек окшойт. Бирок жакында чындыгында дагы эле актуалдуу экендигин көрсөтүп турат. Тилекке каршы, сертификаттардын мөөнөтү бүтө берет.
Окуяны өткөрүп жиберсеңиз, 4-жылдын 2019-майында түн жарымында дээрлик бардык Firefox кеңейтүүлөрү күтүлбөгөн жерден иштебей калды.
Маалым болгондой, массалык мүчүлүштүк Mozillaдан улам келип чыккан , ал кеңейтүүлөргө кол коюу үчүн колдонулган. Ошондуктан, алар "жараксыз" деп белгиленип, текшерилген эмес (). Форумдарда, убактылуу чечим катары, кеңейтүү кол тамгасын текшерүүнү өчүрүү сунушталды жөнүндө: тарам же системанын саатын өзгөртүү.
Mozilla тез арада Firefox 66.0.4 патчын чыгарды, ал жараксыз сертификат менен көйгөйдү чечет жана бардык кеңейтүүлөр кадимки абалына кайтып келет. Иштеп чыгуучулар аны орнотууну сунуштайт жана Кол коюуну текшерүүнү айланып өтүү үчүн эч кандай чечүү жолдору жок, анткени алар патчка карама-каршы келиши мүмкүн.
Бирок, бул окуя дагы бир жолу сертификаттын мөөнөтү бүгүнкү күндө актуалдуу маселе бойдон калууда.
Бул жагынан алып караганда, бул протокол иштеп чыгуучулар бул милдетти чечкен бир кыйла оригиналдуу жолун карап чыгуу кызыктуу . Алардын чечүү эки бөлүккө бөлүүгө болот. Биринчиден, бул кыска мөөнөттүү сертификаттар. Экинчиден, колдонуучуларга узак мөөнөттүү колдонуу мөөнөтү аяктагандыгы жөнүндө эскертүү.
DNSCrypt
DNSCrypt - бул DNS трафик шифрлөө протоколу. Ал DNS байланыштарын кармап калуудан жана MiTMден коргойт, ошондой эле DNS суроо деңгээлинде бөгөт коюуну айланып өтүүгө мүмкүндүк берет.
Протокол UDP жана TCP транспорттук протоколдору аркылуу иштеген криптографиялык түзүлүшкө кардар менен сервердин ортосундагы DNS трафигин оройт. Аны колдонуу үчүн кардар да, DNS чечүүчү да DNSCryptти колдоого алышы керек. Мисалы, 2016-жылдын март айынан бери ал DNS серверлеринде жана Yandex браузеринде иштетилген. Бир нече башка провайдерлер да Google жана Cloudflare сыяктуу колдоону жарыялашкан. Тилекке каршы, алардын саны көп эмес (152 коомдук DNS серверлери расмий веб-сайтта көрсөтүлгөн). Бирок программа Linux, Windows жана MacOS кардарларына кол менен орнотсо болот. Ошондой эле бар .
DNSCrypt кантип иштейт? Кыскача айтканда, кардар тандалган провайдердин ачык ачкычын алат жана анын сертификаттарын текшерүү үчүн колдонот. Сеанс үчүн кыска мөөнөттүү ачык ачкычтар жана шифр топтому идентификатору мурунтан эле бар. Кардарлар ар бир суроо-талап үчүн жаңы ачкыч түзүүгө чакырылат, ал эми серверлер ачкычтарды өзгөртүүгө чакырылат ар 24 саат сайын. Ачкычтарды алмаштырууда X25519 алгоритми колдонулат, кол коюу үчүн - EdDSA, блоктук шифрлөө үчүн - XSalsa20-Poly1305 же XChaCha20-Poly1305.
Протоколду иштеп чыгуучулардын бири Фрэнк Денис ар бир 24 саат сайын автоматтык алмаштыруу мөөнөтү өтүп кеткен сертификаттардын көйгөйүн чечкен. Негизи, dnscrypt-прокси шилтеме кардары ар кандай жарактуу мөөнөтү бар сертификаттарды кабыл алат, бирок ал 24 сааттан ашык жарактуу болсо, "Бул сервер үчүн dnscrypt-прокси ачкычынын мөөнөтү өтө узун" деген эскертүү берет. Ошол эле учурда, ачкычтарды (жана сертификаттарды) тез алмаштыруу ишке ашырылган Docker сүрөтү чыгарылды.
Биринчиден, бул коопсуздук үчүн абдан пайдалуу: сервер бузулуп калса же ачкыч чыгып кетсе, анда кечээки трафиктин шифрин чечүүгө болбойт. Ачкыч мурунтан эле өзгөргөн. Бул, кыязы, провайдерлерди бардык трафикти, анын ичинде шифрленген трафикти сактоого мажбурлаган Яровая мыйзамын ишке ашырууда көйгөй жаратат. Мунун мааниси, эгер зарыл болсо, сайттан ачкычты сурап, кийинчерээк чечмелесе болот. Бирок бул учурда, сайт жөн гана аны камсыз кыла албайт, анткени ал эскилерин жок кылып, кыска мөөнөттүү ачкычтарды колдонот.
Бирок эң негизгиси, деп жазат Денис, кыска мөөнөттүү ачкычтар серверлерди биринчи күндөн баштап автоматташтырууга мажбурлайт. Эгерде сервер тармакка туташса жана ачкычты өзгөртүү скрипттери конфигурацияланбаса же иштебей калса, бул дароо аныкталат.
Автоматташтыруу ачкычтарды бир нече жылда бир алмаштырганда, ага ишенүүгө болбойт жана адамдар сертификаттын мөөнөтү аяктаганын унутуп коюшу мүмкүн. Эгер сиз күн сайын баскычтарды алмаштырсаңыз, бул ошол замат аныкталат.
Ошол эле учурда, эгерде автоматташтыруу нормалдуу конфигурацияланса, анда ачкычтар канчалык тез-тез алмаштырылганы маанилүү эмес: жыл сайын, ар бир кварталда же күнүнө үч жолу. Эгерде бардыгы 24 сааттан ашык иштесе, ал түбөлүк иштейт, деп жазат Фрэнк Денис. Анын айтымында, протоколдун экинчи версиясында ачкычты күн сайын айландыруу сунушу аны ишке ашыруучу даяр Докер сүрөтү менен бирге, мөөнөтү өтүп кеткен сертификаттары бар серверлердин санын эффективдүү кыскартып, ошол эле учурда коопсуздукту жакшыртты.
Бирок, кээ бир провайдерлер дагы эле кээ бир техникалык себептерден улам сертификаттын жарактуулук мөөнөтүн 24 сааттан ашык коюуну чечишти. Бул көйгөй негизинен dnscrypt-проксидеги коддун бир нече саптары менен чечилди: колдонуучулар сертификаттын мөөнөтү бүтөрүнө 30 күн калганда маалыматтык эскертүү алышат, мөөнөтү бүтөөрүнө 7 күн калганда катуураак деңгээлдеги дагы бир билдирүү жана сертификатта калган болсо, сын билдирүү келет. жарактуулугу 24 сааттан аз. Бул алгач жарактуу мөөнөтү узак болгон сертификаттарга гана тиешелүү.
Бул билдирүүлөр колдонуучуларга DNS операторлоруна күбөлүктүн мөөнөтү бүтө электе кеч боло электе кабарлоо мүмкүнчүлүгүн берет.
Балким, бардык Firefox колдонуучулары ушундай билдирүүнү алса, анда кимдир бирөө иштеп чыгуучуларга кабарлап, сертификаттын мөөнөтү бүтүшүнө жол бербейт. "Акыркы эки же үч жылда сертификатынын мөөнөтү бүтүп калган коомдук DNS серверлеринин тизмесинде бир дагы DNSCrypt сервери эсимде жок", - деп жазат Фрэнк Денис. Кандай болгон күндө да, эскертүүсүз кеңейтүүлөрдү өчүргөндүн ордуна, адегенде колдонуучуларды эскерткен жакшы.
Source: www.habr.com