Taloha dia matetika lany daty ny certificat satria tsy maintsy nohavaozina amin’ny tanana. Adinon’ny olona fotsiny ny nanao izany. Miaraka amin'ny fahatongavan'ny Let's Encrypt sy ny fomba fanavaozana mandeha ho azy dia toa tokony ho voavaha ny olana. Fa vao haingana mampiseho fa, raha ny marina, dia mbola manan-danja. Indrisy anefa fa mbola lany daty ny taratasy fanamarinana.
Raha sendra tsy hita ilay tantara, tamin'ny misasak'alina tamin'ny 4 Mey 2019, saika tsy niasa tampoka ny fanitarana Firefox rehetra.
Raha ny fantatra dia nitranga ny tsy fahombiazana goavana noho ny fisian'i Mozilla , izay nampiasaina hanaovana sonia fanitarana. Noho izany dia voamarika ho “tsy manan-kery” izy ireo ary tsy voamarina (). Ao amin'ny sehatra fiadian-kevitra, ho toy ny vahaolana, dia nanolorana azy ho hanafoana ny fanitarana sonia fanamarinana ao About: config na manova ny famantaranandro rafitra.
Namoaka haingana ny patch Firefox 66.0.4 i Mozilla, izay mamaha ny olana amin'ny taratasy fanamarinana tsy mety, ary miverina amin'ny laoniny ny fanitarana rehetra. Manoro hevitra ny mpamorona ny fametrahana azy ary tsy misy vahaolana hialana amin'ny fanamarinana sonia satria mety mifanohitra amin'ny patch.
Na izany aza, ity tantara ity indray dia mampiseho fa ny fahataperan'ny certificat dia mbola olana goavana ankehitriny.
Amin'io lafiny io, mahaliana ny mijery ny fomba tena tany am-boalohany ny fomba niarahan'ny mpamorona protocol tamin'ity asa ity . Azo zaraina roa ny vahaolana ho azy ireo. Voalohany indrindra, ireo dia taratasy fanamarinana maharitra. Faharoa, fampitandremana ny mpampiasa momba ny fahataperan'ny fotoana maharitra.
DNSCrypt
DNSCrypt dia protocole encryption fifamoivoizana DNS. Miaro ny fifandraisana DNS amin'ny fisakanana sy ny MiTM izy io, ary ahafahanao mandingana ny fanakanana amin'ny haavon'ny fangatahana DNS.
Ny protocol dia mamehy ny fifamoivoizana DNS eo amin'ny mpanjifa sy ny mpizara amin'ny fananganana kriptografika, miasa amin'ny protocols fitaterana UDP sy TCP. Raha hampiasa izany dia tsy maintsy manohana ny DNSCrypt ny mpanjifa sy ny solver DNS. Ohatra, nanomboka tamin'ny martsa 2016, dia navela tao amin'ny mpizara DNS-ny sy ao amin'ny navigateur Yandex. Mpanome maro hafa koa no nanambara fanohanana, anisan'izany ny Google sy Cloudflare. Indrisy anefa fa tsy misy firy amin'izy ireo (152 mpizara DNS ho an'ny daholobe no voatanisa ao amin'ny tranokala ofisialy). Fa ny programa azo apetraka amin'ny tanana amin'ny mpanjifa Linux, Windows ary MacOS. Misy koa .
Ahoana no fiasan'ny DNSCrypt? Raha fintinina, ny mpanjifa dia maka ny fanalahidin'ny daholobe amin'ny mpamatsy voafantina ary mampiasa izany hanamarina ny mari-pankasitrahany. Efa eo ny fanalahidin'ny daholobe ao anatin'ny fotoana fohy ho an'ny session sy ny identifier suite cipher. Amporisihina ny mpanjifa hamorona fanalahidy vaovao ho an'ny fangatahana tsirairay, ary entanina ny mpizara hanova fanalahidy isaky ny 24 ora. Rehefa mifanakalo fanalahidy dia ampiasaina ny algorithm X25519, ho an'ny sonia - EdDSA, ho an'ny fanakanana fanakanana - XSalsa20-Poly1305 na XChaCha20-Poly1305.
Iray amin'ireo mpamorona protocol Frank Denis fa ny fanoloana mandeha ho azy isaky ny 24 ora dia namaha ny olan'ny taratasy fanamarinana lany daty. Amin'ny ankapobeny, ny mpanjifa dnscrypt-proxy reference dia manaiky mari-pankasitrahana misy fe-potoana manan-kery, fa mamoaka fampitandremana "Ny fe-potoana fanalahidin'ny dnscrypt-proxy ho an'ity mpizara ity dia lava loatra" raha manankery mandritra ny 24 ora mahery. Nandritra izany fotoana izany dia nisy sary Docker navoaka, izay nampiharina ny fanovana haingana ny fanalahidy (sy ny mari-pankasitrahana).
Voalohany, tena ilaina amin'ny fiarovana izy io: raha toa ka voahitsakitsaka ny mpizara na tafaporitsaka ny fanalahidy, dia tsy azo decryption ny fifamoivoizana omaly. Efa niova ny lakile. Mety hiteraka olana amin'ny fampiharana ny Lalàna Yarovaya izany, izay manery ny mpanome tolotra hitahiry ny fifamoivoizana rehetra, anisan'izany ny fifamoivoizana an-tsokosoko. Ny dikan'izany dia azo tsoahina avy eo raha ilaina amin'ny fangatahana ny lakile avy amin'ny tranokala. Saingy amin'ity tranga ity, ny tranokala dia tsy afaka manome izany fotsiny, satria mampiasa fanalahidy fohy izy, mamafa ireo taloha.
Fa ny tena zava-dehibe, hoy i Denis nanoratra, ny fanalahidin'ny fotoana fohy dia manery ireo mpizara hametraka automatique manomboka amin'ny andro voalohany. Raha mifandray amin'ny tambajotra ny mpizara ary tsy voarindra na tsy mandeha ny sora-baventy fanovana fanalahidy, dia ho hita avy hatrany izany.
Rehefa manova fanalahidy isaky ny taona vitsivitsy ny automation dia tsy azo ianteherana izany, ary afaka manadino ny fahataperan'ny taratasy fanamarinana ny olona. Raha manova ny fanalahidy isan'andro ianao dia ho hita eo no ho eo izany.
Amin'izay fotoana izay ihany koa, raha toa ka amboarina ara-dalàna ny automation, dia tsy maninona na impiry impiry ny fanovana ny fanalahidy: isan-taona, isaky ny telovolana na in-telo isan'andro. Raha miasa mandritra ny 24 ora mahery ny zava-drehetra, dia haharitra mandrakizay izany, hoy i Frank Denis nanoratra. Araka ny filazany, ny tolo-kevitra momba ny fihodinan'ny fanalahidy isan'andro amin'ny dikan-teny faharoa amin'ny protocol, miaraka amin'ny sary Docker efa vonona izay mampihatra azy, dia nampihena ny isan'ireo mpizara manana mari-pankasitrahana lany daty, ary manatsara ny fiarovana.
Na izany aza, mbola nanapa-kevitra ny mpamatsy sasany, noho ny antony ara-teknika sasany, hametraka ny fe-potoana manankery ho 24 ora mahery. Ity olana ity dia voavaha amin'ny andalana vitsivitsy ao amin'ny dnscrypt-proxy: ny mpampiasa dia mahazo fampitandremana momba ny fampahafantarana 30 andro alohan'ny lany ny taratasy fanamarinana, hafatra hafa manana haavo ambony kokoa 7 andro alohan'ny lany daty, ary hafatra mitsikera raha misy sisa tavela ny taratasy fanamarinana. manankery. latsaky ny 24 ora. Izany dia mihatra amin'ny certificat izay manana fe-potoana maharitra amin'ny voalohany.
Ireo hafatra ireo dia manome fahafahana ny mpampiasa hampandre ny mpandraharaha DNS momba ny fahataperan'ny taratasy fanamarinana mananontanona alohan'ny tara loatra.
Angamba raha nahazo hafatra toy izany ny mpampiasa Firefox rehetra, dia mety hisy olona hampandre ny mpamorona ary tsy hamela ny taratasy fanamarinana ho lany daty. "Tsy tadidiko ny mpizara DNSCrypt tokana ao amin'ny lisitry ny mpizara DNS ho an'ny daholobe izay nandany ny taratasy fanamarinana tao anatin'ny roa na telo taona lasa izay," hoy i Frank Denis. Na izany na tsy izany, tsara kokoa ny mampitandrina ny mpampiasa aloha toy izay manakana ny fanitarana tsy misy fampitandremana.
Source: www.habr.com