Өмнө нь гэрчилгээг гараар сунгах шаардлагатай байсан тул хугацаа нь ихэвчлэн дуусдаг байсан. Хүмүүс үүнийг хийхээ мартсан. Let's Encrypt болон автоматаар шинэчлэх горим гарч ирснээр асуудлыг шийдэх ёстой юм шиг байна. Гэхдээ саяхан
Хэрэв та түүхийг орхигдуулсан бол 4 оны 2019-р сарын XNUMX-ний шөнө дунд бараг бүх Firefox өргөтгөлүүд гэнэт ажиллахаа больсон.
Энэ нь Mozilla-аас болж их хэмжээний бүтэлгүйтэл гарсан
Mozilla Firefox 66.0.4 нөхөөсийг хурдан гаргасан бөгөөд энэ нь хүчингүй гэрчилгээний асуудлыг шийдэж, бүх өргөтгөлүүд хэвийн байдалдаа эргэн орсон. Хөгжүүлэгчид үүнийг суулгахыг зөвлөж байна
Гэсэн хэдий ч гэрчилгээний хугацаа дуусах нь өнөөдөр тулгамдсан асуудал хэвээр байгааг энэ түүх дахин харуулж байна.
Үүнтэй холбогдуулан протокол боловсруулагчид энэ даалгаврыг хэрхэн даван туулсан талаар нэлээд анхны арга замыг харах нь сонирхолтой юм
DNSCrypt
DNSCrypt бол DNS траффикийн шифрлэлтийн протокол юм. Энэ нь DNS харилцаа холбоог саатуулах болон MiTM-ээс хамгаалахаас гадна DNS асуулгын түвшинд блоклохыг тойрч гарах боломжийг олгодог.
Протокол нь үйлчлүүлэгч болон серверийн хоорондох DNS траффикийг UDP болон TCP тээврийн протоколууд дээр ажилладаг криптографийн бүтцэд оруулдаг. Үүнийг ашиглахын тулд үйлчлүүлэгч болон DNS шийдүүлэгч хоёулаа DNSCrypt-ийг дэмжих ёстой. Жишээлбэл, 2016 оны 152-р сараас эхлэн DNS серверүүд болон Yandex хөтөч дээр идэвхжсэн. Google болон Cloudflare зэрэг хэд хэдэн үйлчилгээ үзүүлэгчид дэмжлэг үзүүлэхээ зарласан. Харамсалтай нь тэдгээр нь тийм ч олон биш (XNUMX нийтийн DNS серверийг албан ёсны вэбсайт дээр жагсаасан). Гэхдээ хөтөлбөр
DNSCrypt хэрхэн ажилладаг вэ? Товчхондоо, үйлчлүүлэгч сонгосон үйлчилгээ үзүүлэгчийнхээ нийтийн түлхүүрийг авч, гэрчилгээгээ баталгаажуулахад ашигладаг. Сессийн богино хугацааны нийтийн түлхүүрүүд болон шифрийн багц танигч аль хэдийн тэнд байна. Үйлчлүүлэгчид хүсэлт бүрт шинэ түлхүүр үүсгэхийг, харин серверүүдийг түлхүүрээ солихыг зөвлөж байна 24 цаг тутамд. Түлхүүр солилцохдоо X25519 алгоритмыг гарын үсэг зурахад - EdDSA, блок шифрлэхэд - XSalsa20-Poly1305 эсвэл XChaCha20-Poly1305 ашигладаг.
Протокол хөгжүүлэгчдийн нэг Фрэнк Денис
Нэгдүгээрт, энэ нь аюулгүй байдлын хувьд маш ашигтай: хэрэв сервер эвдэрсэн эсвэл түлхүүр алдагдсан бол өчигдрийн траффикийг тайлах боломжгүй. Түлхүүр нь аль хэдийн өөрчлөгдсөн. Энэ нь үйлчилгээ үзүүлэгчдийг бүх урсгал, тэр дундаа шифрлэгдсэн урсгалыг хадгалахыг шаарддаг Яровая хуулийг хэрэгжүүлэхэд хүндрэл учруулж болзошгүй юм. Үүний үр дагавар нь шаардлагатай бол сайтаас түлхүүр хүсэх замаар дараа нь кодыг тайлж болно. Гэхдээ энэ тохиолдолд сайт нь үүнийг өгөх боломжгүй, учир нь энэ нь богино хугацааны түлхүүрүүдийг ашиглаж, хуучин түлхүүрүүдийг устгадаг.
Гэхдээ хамгийн чухал нь богино хугацааны түлхүүрүүд нь серверүүдийг эхний өдрөөс автоматжуулалтыг бий болгоход хүргэдэг гэж Денис бичжээ. Хэрэв сервер сүлжээнд холбогдож, түлхүүр өөрчлөлтийн скриптүүд тохируулагдаагүй эсвэл ажиллахгүй бол энэ нь шууд илрэх болно.
Автоматжуулалт хэдэн жил тутам түлхүүрээ солих үед үүнд найдах боломжгүй бөгөөд хүмүүс гэрчилгээний хугацаа дуусахыг мартаж болно. Хэрэв та түлхүүрээ өдөр бүр сольж байвал энэ нь шууд илрэх болно.
Үүний зэрэгцээ, хэрэв автоматжуулалтыг хэвийн тохируулсан бол товчлуурыг хэр олон удаа солих нь хамаагүй: жил бүр, улирал бүр эсвэл өдөрт гурван удаа. Хэрэв бүх зүйл 24 цагаас илүү ажиллавал үүрд ажиллах болно гэж Фрэнк Денис бичжээ. Түүний хэлснээр, протоколын хоёр дахь хувилбарт өдөр бүр товчлуурыг эргүүлэх зөвлөмж, үүнийг хэрэгжүүлдэг бэлэн Docker дүрс нь хугацаа нь дууссан сертификаттай серверүүдийн тоог үр дүнтэй бууруулж, аюулгүй байдлыг нэгэн зэрэг сайжруулсан.
Гэсэн хэдий ч зарим үйлчилгээ үзүүлэгчид техникийн зарим шалтгааны улмаас гэрчилгээний хүчинтэй байх хугацааг 24 цагаас илүү байхаар шийдсэн хэвээр байна. Энэ асуудлыг dnscrypt-proxy-д хэд хэдэн мөр код оруулснаар үндсэндээ шийдэгдсэн: хэрэглэгчид гэрчилгээний хугацаа дуусахаас 30 хоногийн өмнө мэдээллийн анхааруулга, хугацаа дуусахаас 7 хоногийн өмнө ноцтой байдлын өндөр түвшний өөр мессеж, хэрэв гэрчилгээ үлдсэн бол чухал мессеж хүлээн авдаг. хүчинтэй байх.24 цагаас бага. Энэ нь зөвхөн эхэндээ урт хугацааны хүчинтэй байх гэрчилгээнд хамаарна.
Эдгээр мессежүүд нь хэрэглэгчдэд хэтэрхий оройтохоос өмнө сертификатын хугацаа дуусах гэж буйг DNS операторуудад мэдэгдэх боломжийг олгодог.
Хэрэв Firefox-ийн бүх хэрэглэгчид ийм мессеж хүлээн авбал хэн нэгэн хөгжүүлэгчдэд мэдэгдэх бөгөөд тэд гэрчилгээний хугацаа дуусахыг зөвшөөрөхгүй байж магадгүй юм. "Сүүлийн хоёр, гурван жилийн хугацаанд гэрчилгээний хугацаа нь дууссан нийтийн DNS серверүүдийн жагсаалтад нэг DNSCrypt сервер байсныг би санахгүй байна" гэж Фрэнк Денис бичжээ. Ямар ч байсан өргөтгөлүүдийг сануулгагүйгээр идэвхгүй болгосноос эхлээд хэрэглэгчдэд анхааруулах нь дээр байх.
Эх сурвалж: www.habr.com