Fil-passat, iċ-ċertifikati spiss skadew minħabba li kellhom jiġġeddu manwalment. In-nies sempliċement insew jagħmlu dan. Bil-miġja ta 'Ejja Encrypt u l-proċedura ta' aġġornament awtomatiku, jidher li l-problema għandha tiġi solvuta. Imma riċenti juri li, fil-fatt, għadu rilevanti. Sfortunatament, iċ-ċertifikati jkomplu jiskadu.
F'każ li tlift l-istorja, f'nofsillejl tal-4 ta' Mejju 2019, kważi l-estensjonijiet kollha ta' Firefox f'daqqa waqfu jaħdmu.
Kif irriżulta, il-falliment massiv seħħ minħabba l-fatt li Mozilla , li ntuża biex jiffirma l-estensjonijiet. Għalhekk, ġew immarkati bħala "invalidi" u ma ġewx verifikati (). Fuq il-fora, bħala soluzzjoni, ġie rrakkomandat li tiddiżattiva l-verifika tal-firma tal-estensjoni fil dwar: konfigurazzjoni jew tibdel l-arloġġ tas-sistema.
Mozilla malajr ħareġ il-garża Firefox 66.0.4, li ssolvi l-problema b'ċertifikat invalidu, u l-estensjonijiet kollha jerġgħu lura għan-normal. L-iżviluppaturi jirrakkomandaw li jinstallawha u l-ebda soluzzjoni biex tiġi evitata l-verifika tal-firma minħabba li jistgħu jkunu f'kunflitt mal-garża.
Madankollu, din l-istorja għal darb'oħra turi li l-iskadenza taċ-ċertifikat għadha kwistjoni urġenti llum.
F'dan ir-rigward, huwa interessanti li wieħed iħares lejn mod pjuttost oriġinali kif l-iżviluppaturi tal-protokoll ittrattaw dan il-kompitu . Is-soluzzjoni tagħhom tista 'tinqasam f'żewġ partijiet. L-ewwelnett, dawn huma ċertifikati għal żmien qasir. It-tieni nett, twissi lill-utenti dwar l-iskadenza ta 'dawk fit-tul.
DNSCrypt
DNSCrypt huwa protokoll ta' encryption tat-traffiku DNS. Jipproteġi l-komunikazzjonijiet tad-DNS minn interċettazzjonijiet u MiTM, u jippermettilek ukoll li tevita l-imblukkar fil-livell tal-mistoqsija DNS.
Il-protokoll iġib it-traffiku DNS bejn il-klijent u s-server f'kostruzzjoni kriptografika, li topera fuq il-protokolli tat-trasport UDP u TCP. Biex tużah, kemm il-klijent kif ukoll is-solvent tad-DNS għandhom jappoġġjaw DNSCrypt. Pereżempju, minn Marzu 2016, ġie attivat fuq is-servers DNS tiegħu u fil-browser Yandex. Diversi fornituri oħra ħabbru wkoll appoġġ, inklużi Google u Cloudflare. Sfortunatament, m'hemmx ħafna minnhom (152 servers DNS pubbliċi huma elenkati fuq il-websajt uffiċjali). Iżda l-programm jistgħu jiġu installati manwalment fuq klijenti Linux, Windows u MacOS. Hemm ukoll .
Kif jaħdem DNSCrypt? Fil-qosor, il-klijent jieħu ċ-ċavetta pubblika tal-fornitur magħżul u jużaha biex jivverifika ċ-ċertifikati tiegħu. Iċ-ċwievet pubbliċi għal żmien qasir għas-sessjoni u l-identifikatur tas-cipher suite diġà qegħdin hemm. Il-klijenti huma mħeġġa jiġġeneraw ċavetta ġdida għal kull talba, u s-servers huma mħeġġa jibdlu ċ-ċwievet kull 24 siegħa. Meta tiskambja ċwievet, jintuża l-algoritmu X25519, għall-iffirmar - EdDSA, għall-kriptaġġ tal-blokki - XSalsa20-Poly1305 jew XChaCha20-Poly1305.
Wieħed mill-iżviluppaturi tal-protokoll Frank Denis dik is-sostituzzjoni awtomatika kull 24 siegħa solviet il-problema taċ-ċertifikati skaduti. Fil-prinċipju, il-klijent ta' referenza dnscrypt-proxy jaċċetta ċertifikati bi kwalunkwe perjodu ta' validità, iżda joħroġ twissija "Il-perjodu taċ-ċavetta dnscrypt-proxy għal dan is-server huwa twil wisq" jekk ikun validu għal aktar minn 24 siegħa. Fl-istess ħin, ġiet rilaxxata immaġni Docker, li fiha ġiet implimentata bidla rapida ta 'ċwievet (u ċertifikati).
L-ewwel, huwa estremament utli għas-sigurtà: jekk is-server ikun kompromess jew iċ-ċavetta tkun leaked, allura t-traffiku tal-bieraħ ma jistax jiġi decrypted. Iċ-ċavetta diġà nbidlet. Dan x'aktarx joħloq problema għall-implimentazzjoni tal-Liġi Yarovaya, li ġġiegħel lill-fornituri jaħżnu t-traffiku kollu, inkluż it-traffiku kriptat. L-implikazzjoni hija li aktar tard jista 'jiġi dekriptat jekk meħtieġ billi titlob iċ-ċavetta mis-sit. Iżda f'dan il-każ, is-sit sempliċement ma jistax jipprovdiha, minħabba li juża ċwievet għal żmien qasir, u jħassar dawk qodma.
Iżda l-aktar importanti, jikteb Denis, ċwievet għal żmien qasir jġiegħlu lis-servers jistabbilixxu l-awtomazzjoni mill-ewwel jum. Jekk is-server jgħaqqad man-netwerk u l-iskripts tal-bidla ewlenin mhumiex konfigurati jew ma jaħdmux, dan jiġi skopert immedjatament.
Meta l-awtomazzjoni tbiddel iċ-ċwievet kull ftit snin, ma tistax tiġi invokata, u n-nies jistgħu jinsew dwar l-iskadenza taċ-ċertifikat. Jekk tibdel iċ-ċwievet kuljum, dan jiġi skopert istantanjament.
Fl-istess ħin, jekk l-awtomazzjoni hija kkonfigurata b'mod normali, allura ma jimpurtax kemm-il darba ċ-ċwievet jinbidlu: kull sena, kull kwart jew tliet darbiet kuljum. Jekk kollox jaħdem għal aktar minn 24 siegħa, se jaħdem għal dejjem, jikteb Frank Denis. Skond hu, ir-rakkomandazzjoni ta 'rotazzjoni taċ-ċavetta ta' kuljum fit-tieni verżjoni tal-protokoll, flimkien ma 'immaġni Docker lesta li timplimentaha, naqqset b'mod effettiv in-numru ta' servers b'ċertifikati skaduti, filwaqt li fl-istess ħin tejbet is-sigurtà.
Madankollu, xi fornituri xorta ddeċidew, għal xi raġunijiet tekniċi, li jistabbilixxu l-perjodu ta' validità taċ-ċertifikat għal aktar minn 24 siegħa. Din il-problema ġiet solvuta fil-biċċa l-kbira bi ftit linji ta’ kodiċi f’dnscrypt-proxy: l-utenti jirċievu twissija informattiva 30 jum qabel ma jiskadi ċ-ċertifikat, messaġġ ieħor b’livell ta’ severità ogħla 7 ijiem qabel l-iskadenza, u messaġġ kritiku jekk iċ-ċertifikat ikollu xi fadal. validità.inqas minn 24 siegħa. Dan japplika biss għal ċertifikati li inizjalment għandhom perjodu twil ta' validità.
Dawn il-messaġġi jagħtu lill-utenti l-opportunità li jinnotifikaw lill-operaturi tad-DNS dwar l-iskadenza ta’ ċertifikat imminenti qabel ma jkun tard wisq.
Forsi jekk l-utenti kollha ta 'Firefox irċevew messaġġ bħal dan, allura xi ħadd probabbilment jinforma lill-iżviluppaturi u ma jippermettux li ċ-ċertifikat jiskadi. "Ma niftakarx server DNSCrypt wieħed fuq il-lista ta 'servers DNS pubbliċi li kellu ċ-ċertifikat tiegħu jiskadi fl-aħħar sentejn jew tliet snin," jikteb Frank Denis. Fi kwalunkwe każ, huwa probabbilment aħjar li twissi lill-utenti l-ewwel aktar milli tiddiżattiva l-estensjonijiet mingħajr twissija.
Sors: www.habr.com