AgrÄk sertifikÄtu derÄ«guma termiÅÅ” bieži beidzÄs, jo tie bija jÄatjauno manuÄli. CilvÄki vienkÄrÅ”i aizmirsa to izdarÄ«t. LÄ«dz ar Let's Encrypt parÄdÄ«Å”anos un automÄtiskÄs atjauninÄÅ”anas procedÅ«ru, Ŕķiet, ka problÄma bÅ«tu jÄatrisina. Bet nesen
Ja palaidÄt garÄm stÄstu, 4. gada 2019. maija pusnaktÄ« gandrÄ«z visi Firefox paplaÅ”inÄjumi pÄkÅ”Åi pÄrstÄja darboties.
KÄ izrÄdÄ«jÄs, masveida kļūme notika tÄpÄc, ka Mozilla
Mozilla Ätri izlaida Firefox 66.0.4 ielÄpu, kas atrisina problÄmu ar nederÄ«gu sertifikÄtu, un visi paplaÅ”inÄjumi atgriežas normÄlÄ stÄvoklÄ«. IzstrÄdÄtÄji iesaka to instalÄt un
TomÄr Å”is stÄsts vÄlreiz parÄda, ka sertifikÄtu derÄ«guma termiÅÅ” joprojÄm ir aktuÄls jautÄjums.
Å ajÄ sakarÄ ir interesanti aplÅ«kot diezgan oriÄ£inÄlu veidu, kÄ protokola izstrÄdÄtÄji tika galÄ ar Å”o uzdevumu
DNSCrypt
DNSCrypt ir DNS trafika Å”ifrÄÅ”anas protokols. Tas aizsargÄ DNS sakarus no pÄrtverÅ”anas un MiTM, kÄ arÄ« ļauj apiet bloÄ·ÄÅ”anu DNS vaicÄjuma lÄ«menÄ«.
Protokols ietver DNS trafiku starp klientu un serveri kriptogrÄfiskÄ konstrukcijÄ, kas darbojas, izmantojot UDP un TCP transporta protokolus. Lai to izmantotu, gan klientam, gan DNS atrisinÄtÄjam ir jÄatbalsta DNSCrypt. PiemÄram, kopÅ” 2016. gada marta tas ir iespÄjots tÄ DNS serveros un Yandex pÄrlÅ«kprogrammÄ. Atbalstu ir paziÅojuÅ”i arÄ« vairÄki citi pakalpojumu sniedzÄji, tostarp Google un Cloudflare. DiemžÄl to nav daudz (oficiÄlajÄ vietnÄ ir norÄdÄ«ti 152 publiskie DNS serveri). Bet programma
KÄ darbojas DNSCrypt? ÄŖsÄk sakot, klients paÅem izvÄlÄtÄ pakalpojumu sniedzÄja publisko atslÄgu un izmanto to, lai pÄrbaudÄ«tu savus sertifikÄtus. Sesijas Ä«stermiÅa publiskÄs atslÄgas un Å”ifrÄÅ”anas komplekta identifikators jau ir tur. Klienti tiek mudinÄti katram pieprasÄ«jumam Ä£enerÄt jaunu atslÄgu, un serveri tiek mudinÄti mainÄ«t atslÄgas ik pÄc 24 stundÄm. Apmainoties ar atslÄgÄm, tiek izmantots algoritms X25519, parakstÄ«Å”anai - EdDSA, bloku Å”ifrÄÅ”anai - XSalsa20-Poly1305 vai XChaCha20-Poly1305.
Viens no protokola izstrÄdÄtÄjiem Frenks Deniss
PirmkÄrt, tas ir ÄrkÄrtÄ«gi noderÄ«gs droŔībai: ja serveris ir apdraudÄts vai atslÄga ir noplÅ«dusi, vakardienas trafiku nevar atÅ”ifrÄt. AtslÄga jau ir mainÄ«ta. Tas, iespÄjams, radÄ«s problÄmas Yarovaya likuma Ä«stenoÅ”anÄ, kas liek pakalpojumu sniedzÄjiem saglabÄt visu trafiku, tostarp Å”ifrÄto trafiku. Tas nozÄ«mÄ, ka to vÄlÄk var atÅ”ifrÄt, ja nepiecieÅ”ams, pieprasot atslÄgu no vietnes. Bet Å”ajÄ gadÄ«jumÄ vietne to vienkÄrÅ”i nevar nodroÅ”inÄt, jo izmanto Ä«stermiÅa atslÄgas, dzÄÅ”ot vecÄs.
Bet pats galvenais, raksta Deniss, Ä«stermiÅa atslÄgas liek serveriem iestatÄ«t automatizÄciju jau no pirmÄs dienas. Ja serveris izveido savienojumu ar tÄ«klu un atslÄgas maiÅas skripti nav konfigurÄti vai nedarbojas, tas tiks konstatÄts nekavÄjoties.
Kad automatizÄcija ik pÄc dažiem gadiem maina atslÄgas, uz to nevar paļauties, un cilvÄki var aizmirst par sertifikÄta derÄ«guma termiÅu. Ja katru dienu mainÄt atslÄgas, tas tiks konstatÄts uzreiz.
TajÄ paÅ”Ä laikÄ, ja automatizÄcija ir konfigurÄta normÄli, tad nav svarÄ«gi, cik bieži tiek mainÄ«ti atslÄgas: katru gadu, katru ceturksni vai trÄ«s reizes dienÄ. Ja viss darbosies ilgÄk par 24 stundÄm, tas darbosies mūžīgi, raksta Frenks Deniss. PÄc viÅa teiktÄ, ieteikums par ikdienas atslÄgu rotÄciju protokola otrajÄ versijÄ kopÄ ar gatavu Docker attÄlu, kas to realizÄ, efektÄ«vi samazinÄja serveru skaitu ar beidzies sertifikÄtiem, vienlaikus uzlabojot droŔību.
TomÄr daži pakalpojumu sniedzÄji tehnisku iemeslu dÄļ joprojÄm nolÄma noteikt sertifikÄta derÄ«guma termiÅu, kas pÄrsniedz 24 stundas. Å Ä« problÄma lielÄ mÄrÄ tika atrisinÄta, izmantojot dažas koda rindiÅas programmÄ dnscrypt-proxy: lietotÄji saÅem informatÄ«vu brÄ«dinÄjumu 30 dienas pirms sertifikÄta derÄ«guma termiÅa beigÄm, citu ziÅojumu ar augstÄku nopietnÄ«bas pakÄpi 7 dienas pirms derÄ«guma termiÅa beigÄm un kritisku ziÅojumu, ja sertifikÄtÄ ir atlikuÅ”i. derÄ«guma termiÅÅ”. mazÄk nekÄ 24 stundas. Tas attiecas tikai uz sertifikÄtiem, kuriem sÄkotnÄji ir ilgs derÄ«guma termiÅÅ”.
Å ie ziÅojumi sniedz lietotÄjiem iespÄju informÄt DNS operatorus par gaidÄmo sertifikÄta derÄ«guma termiÅu, pirms ir par vÄlu.
IespÄjams, ja visi Firefox lietotÄji saÅemtu Å”Ädu ziÅojumu, tad kÄds droÅ”i vien informÄtu izstrÄdÄtÄjus un tie neļautu sertifikÄtam beigties. "Es neatceros nevienu DNSCrypt serveri publisko DNS serveru sarakstÄ, kuram pÄdÄjo divu vai trÄ«s gadu laikÄ bÅ«tu beidzies sertifikÄta derÄ«guma termiÅÅ”," raksta Frenks Deniss. JebkurÄ gadÄ«jumÄ, iespÄjams, ir labÄk vispirms brÄ«dinÄt lietotÄjus, nevis atspÄjot paplaÅ”inÄjumus bez brÄ«dinÄjuma.
Avots: www.habr.com