An der Vergaangenheet sinn d'Zertifikater dacks ofgelaf, well se manuell erneiert gi sinn. D'Leit hu einfach vergiess et ze maachen. Mat dem Advent vu Let's Encrypt an der automatescher Update-Prozedur, schéngt et datt de Problem sollt geléist ginn. Awer rezent weist, datt et tatsächlech nach relevant ass. Leider lafen d'Zertifikater weider.
Am Fall wou Dir d'Geschicht verpasst hutt, um Mëtternuecht de 4. Mee 2019, hu bal all Firefox Extensiounen op eemol opgehalen ze schaffen.
Wéi et sech erausstellt, ass de massive Feeler geschitt wéinst der Tatsaach, datt Mozilla , déi benotzt gouf fir Extensiounen z'ënnerschreiwen. Dofir goufen se als "ongëlteg" markéiert a goufen net verifizéiert (). Op de Foren, als Léisung, gouf et recommandéiert d'Verifizéierung vun der Verlängerung Ënnerschrëft auszeschalten iwwer: config oder de System Auer änneren.
Mozilla huet prompt de Firefox 66.0.4 Patch verëffentlecht, deen de Problem mat engem ongëlteg Zertifika léist, an all Extensiounen ginn normal zréck. D'Entwéckler recommandéieren et z'installéieren an keng Léisunge fir d'Ënnerschrëftverifizéierung z'iwwergoen, well se mam Patch Konflikt kënne maachen.
Wéi och ëmmer, dës Geschicht weist nach eng Kéier datt d'Verfall vum Zertifika haut en dréngend Thema bleift.
An dëser Hisiicht ass et interessant ze kucken op eng zimlech originell Manéier wéi d'Protokollentwéckler dës Aufgab behandelt hunn . Hir Léisung kann an zwee Deeler opgedeelt ginn. Als éischt sinn dëst kuerzfristeg Zertifikater. Zweetens, d'Benotzer Warnung iwwer d'Verfall vu laangfristeg.
DNSCrypt
DNSCrypt ass en DNS Traffic Verschlësselungsprotokoll. Et schützt DNS Kommunikatiounen aus Interceptiounen a MiTM, an erlaabt Iech och d'Blockéierung um DNS Ufroniveau ëmzegoen.
De Protokoll wéckelt den DNS-Traffic tëscht Client a Server an engem kryptographesche Konstrukt, deen iwwer d'UDP an TCP Transportprotokoller funktionnéiert. Fir et ze benotzen, muss de Client an den DNS Resolver DNSCrypt ënnerstëtzen. Zum Beispill, zënter Mäerz 2016 ass et op sengen DNS Serveren an am Yandex Browser aktivéiert ginn. Verschidde aner Ubidder hunn och Ënnerstëtzung ugekënnegt, dorënner Google a Cloudflare. Leider sinn et net vill vun hinnen (152 ëffentlech DNS Server sinn op der offizieller Websäit opgezielt). Awer de Programm kann manuell op Linux, Windows a MacOS Clienten installéiert ginn. Et ginn och .
Wéi funktionnéiert DNSCrypt? Kuerz gesot, de Client hëlt den ëffentleche Schlëssel vum gewielte Provider a benotzt se fir seng Certificaten z'iwwerpréiwen. Déi kuerzfristeg ëffentlech Schlësselen fir d'Sessioun an de Chiffer Suite Identifizéierer si schonn do. D'Clientë ginn encouragéiert fir en neie Schlëssel fir all Ufro ze generéieren, a Servere ginn encouragéiert Schlësselen z'änneren all 24 Stonnen. Wann Dir Schlësselen austauscht, gëtt den X25519 Algorithmus benotzt, fir z'ënnerschreiwen - EdDSA, fir Blockverschlësselung - XSalsa20-Poly1305 oder XChaCha20-Poly1305.
Ee vun de Protokoll Entwéckler Frank Denis datt automatesch Ersatz all 24 Stonnen de Problem vun ofgelaaf Certificaten geléist. Am Prinzip akzeptéiert den dnscrypt-Proxy-Referenzclient Zertifikater mat all Validitéitsperiod, awer gëtt eng Warnung "D'dnscrypt-Proxy-Schlësselperiod fir dëse Server ass ze laang" wann et fir méi wéi 24 Stonnen gëlteg ass. Zur selwechter Zäit gouf en Docker-Bild verëffentlecht, an deem e schnelle Changement vu Schlësselen (an Zertifikater) ëmgesat gouf.
Als éischt ass et extrem nëtzlech fir d'Sécherheet: wann de Server kompromittéiert ass oder de Schlëssel leeft, da kann de Traffic vu gëschter net entschlësselt ginn. De Schlëssel ass scho geännert. Dëst wäert wahrscheinlech e Problem fir d'Ëmsetzung vum Yarovaya Gesetz stellen, wat d'Provider zwéngt all Traffic ze späicheren, och verschlësselte Verkéier. D'Implikatioun ass datt et spéider decryptéiert ka ginn wann néideg andeems Dir de Schlëssel vum Site ufrot. Awer an dësem Fall kann de Site et einfach net ubidden, well et kuerzfristeg Schlësselen benotzt, al läscht.
Awer am wichtegsten, schreift Denis, kuerzfristeg Schlësselen zwéngen d'Server fir d'Automatisatioun vum Dag un opzestellen. Wann de Server mam Netz verbënnt an d'Schlësselännerungsskripter net konfiguréiert sinn oder net funktionnéieren, gëtt dëst direkt festgestallt.
Wann d'Automatisatioun d'Schlëssel all puer Joer ännert, kann et net op vertrauen ginn, a Leit kënnen iwwer d'Verfall vum Zertifika vergiessen. Wann Dir d'Schlësselen all Dag ännert, gëtt dëst direkt festgestallt.
Zur selwechter Zäit, wann d'Automatisatioun normalerweis konfiguréiert ass, ass et egal wéi oft d'Schlësselen geännert ginn: all Joer, all Véierel oder dräimol am Dag. Wann alles méi wéi 24 Stonnen funktionnéiert, funktionnéiert et fir ëmmer, schreift de Frank Denis. Laut him huet d'Empfehlung vun der deeglecher Schlësselrotatioun an der zweeter Versioun vum Protokoll, zesumme mat engem fäerdege Docker-Bild, deen et implementéiert, effektiv d'Zuel vun de Serveren mat ofgelaaften Zertifikater reduzéiert, a gläichzäiteg d'Sécherheet verbessert.
Wéi och ëmmer, e puer Fournisseuren hunn aus e puer technesche Grënn nach ëmmer décidéiert d'Gëltegkeetsperiod vum Zertifika op méi wéi 24 Stonnen ze setzen. Dëse Problem gouf gréisstendeels mat e puer Zeilen Code an dnscrypt-Proxy geléist: d'Benotzer kréien eng Informatiounswarnung 30 Deeg virum Zertifikat ofleeft, en anere Message mat engem méi héije Schwieregkeetsniveau 7 Deeg virum Verfall, an e kritesche Message wann de Certificat nach bleift Validitéit manner wéi 24 Stonnen. Dëst gëllt nëmme fir Certificaten déi am Ufank eng laang Validitéit hunn.
Dës Messagen ginn d'Benotzer d'Méiglechkeet DNS-Bedreiwer ze informéieren iwwer d'impendéiert Zertifikatsoffall ier et ze spéit ass.
Vläicht wann all Firefox Benotzer esou e Message kréien, da géif iergendeen wahrscheinlech d'Entwéckler informéieren a si géifen den Zertifikat net auslafen. "Ech erënnere mech net un engem eenzegen DNSCrypt-Server op der Lëscht vun den ëffentlechen DNS-Server, deen säin Zertifika an de leschten zwee oder dräi Joer oflafen huet", schreift de Frank Denis. Op alle Fall ass et wahrscheinlech besser d'Benotzer als éischt ze warnen anstatt d'Extensiounen ouni Warnung auszeschalten.
Source: will.com