په تیرو کې، سندونه ډیری وختونه پای ته رسیدلي ځکه چې دوی باید په لاسي ډول نوي شي. خلک په ساده ډول دا هیر کړي. د Let's Encrypt او د اتوماتیک تازه کولو پروسې په راتګ سره، داسې ښکاري چې ستونزه باید حل شي. مګر وروستي د فایرفوکس کیسه ښیې چې دا په حقیقت کې لاهم اړونده ده. له بده مرغه، سندونه پای ته رسیدو ته دوام ورکوي.

په هغه صورت کې چې تاسو کیسه له لاسه ورکړې، د می په 4، 2019 نیمه شپه کې، نږدې ټول فایرفوکس توسیعونه ناڅاپه کار ودراوه.

لکه څنګه چې دا معلومه شوه، د موزیلا د حقیقت له امله لویه ناکامي رامنځته شوه سند پای ته رسیدلی، کوم چې د تمدید لاسلیک کولو لپاره کارول کیده. نو ځکه، دوی د "ناقص" په توګه په نښه شوي او تایید شوي ندي (تخنیکي توضیحات). په فورمونو کې، د کاري حل په توګه، دا سپارښتنه شوې وه چې د تمدید لاسلیک تایید غیر فعال کړي په اړه: config یا د سیسټم ساعت بدلول.

موزیلا په چټکۍ سره د فایرفوکس 66.0.4 پیچ خپور کړ، کوم چې ستونزه د ناسم سند سره حل کوي، او ټول توسیعونه بیرته عادي حالت ته راځي. پراختیا کونکي وړاندیز کوي چې دا نصب کړي او نه کاروي د لاسلیک تایید څخه د تیرولو لپاره هیڅ کار ندی ځکه چې دوی ممکن د پیچ ​​سره ټکر وکړي.

په هرصورت ، دا کیسه یوځل بیا ښیې چې د سند پای ته رسیدو نن ورځ یوه مهمه مسله پاتې ده.

په دې اړه، دا په زړه پورې ده چې یو اصلي لاره وګورو چې څنګه د پروتوکول پراختیا کونکي د دې دندې سره معامله کوي د DNSCrypt. د دوی حل په دوو برخو ویشل کیدی شي. لومړی، دا لنډ مهاله سندونه دي. دوهم، کاروونکو ته د اوږدې مودې د ختمیدو په اړه خبرداری ورکوي.

د DNSCrypt

DNSCrypt د DNS ترافیک کوډ کولو پروتوکول دی. دا د DNS مخابرات د مداخلې او MiTM څخه ساتي، او تاسو ته اجازه درکوي چې د DNS پوښتنې په کچه د بلاک کولو مخه ونیسي.

پروتوکول د پیرودونکي او سرور ترمینځ د DNS ترافیک په کریپټوګرافیک جوړښت کې پوښي ، د UDP او TCP ټرانسپورټ پروتوکولونو باندې کار کوي. د دې کارولو لپاره، دواړه پیرودونکي او د DNS حل کونکی باید د DNSCrypt ملاتړ وکړي. د مثال په توګه، د مارچ 2016 راهیسې، دا په خپل DNS سرورونو او د Yandex براوزر کې فعال شوی. یو شمیر نورو چمتو کونکو هم ملاتړ اعلان کړی ، پشمول د ګوګل او کلاوډ فلیر. له بده مرغه، د دوی ډیری شتون نلري (د 152 عامه DNS سرورونه په رسمي ویب پاڼه کې لیست شوي). مګر پروګرام dnscrypt-proxy په لینکس، وینډوز او MacOS مراجعینو کې په لاسي ډول نصب کیدی شي. هم شته د سرور پلي کول.

DNSCrypt څنګه کار کوي؟ په لنډه توګه، پیرودونکي د ټاکل شوي چمتو کونکي عامه کیلي اخلي او د دې سندونو تصدیق کولو لپاره یې کاروي. د غونډې لپاره لنډ مهاله عامه کیلي او د سیفر سویټ پیژندونکی لا دمخه شتون لري. پیرودونکي هڅول کیږي چې د هرې غوښتنې لپاره نوې کیلي رامینځته کړي، او سرورونه هڅول کیږي چې کیلي بدل کړي هر 24 ساعته. کله چې کیلي تبادله کیږي، د X25519 الګوریتم کارول کیږي، د لاسلیک کولو لپاره - EdDSA، د بلاک کوډ کولو لپاره - XSalsa20-Poly1305 یا XChaCha20-Poly1305.

د پروتوکول جوړونکو څخه یو فرانک ډینس هغه ليکيدا چې په هر 24 ساعتونو کې اتوماتیک بدلول د ختم شوي سندونو ستونزه حل کوي. په اصولو کې، د dnscrypt-proxy حوالې پیرودونکي د هرې اعتبار مودې سره سندونه مني، مګر خبرداری ورکوي "د دې سرور لپاره د dnscrypt-proxy کلیدي موده ډیره اوږده ده" که چیرې دا د 24 ساعتونو څخه زیات د اعتبار وړ وي. په ورته وخت کې ، د ډاکر عکس خپور شو ، په کوم کې چې د کیلي (او سندونو) ګړندي بدلون پلي شوی و.

لومړی، دا د امنیت لپاره خورا ګټور دی: که چیرې سرور جوړ شوی وي یا کیلي لیک شوی وي، نو د پرون ټرافیک نشي کوزول کیدی. کیلي لا دمخه بدله شوې ده. دا به احتمالا د یاروایا قانون پلي کولو لپاره ستونزه رامینځته کړي ، کوم چې چمتو کونکي دې ته اړ باسي چې ټول ټرافیک ذخیره کړي ، پشمول د کوډ شوي ترافیک. پایله دا ده چې دا وروسته له سایټ څخه د کیلي په غوښتنه کولو سره د اړتیا په صورت کې ډیکرپټ کیدی شي. مګر پدې حالت کې ، سایټ په ساده ډول نشي کولی دا چمتو کړي ، ځکه چې دا لنډمهاله کیلي کاروي ، زاړه حذف کوي.

مګر تر ټولو مهم، ډینس لیکي، لنډ مهاله کیلي سرورونه مجبوروي چې د لومړۍ ورځې څخه اتوماتیک تنظیم کړي. که سرور له شبکې سره وصل شي او د کلیدي بدلون سکریپټونه تنظیم شوي یا کار نه کوي، دا به سمدلاسه کشف شي.

کله چې اتومات په هر څو کلونو کې کیلي بدلوي ، پدې باندې تکیه نشي کیدی ، او خلک کولی شي د سند پای ته رسیدو په اړه هیر کړي. که تاسو هره ورځ کیلي بدل کړئ، دا به سمدستي کشف شي.

په ورته وخت کې، که اتوماتیک په نورمال ډول ترتیب شوی وي، نو دا مهمه نده چې څو ځله کلیدونه بدل شي: هر کال، هر ربع یا په ورځ کې درې ځله. که هرڅه د 24 ساعتونو څخه ډیر کار وکړي ، نو دا به د تل لپاره کار وکړي ، فرانک ډینس لیکي. د هغه په ​​​​وینا، د پروتوکول په دویمه نسخه کې د ورځني کلیدي گردش وړاندیز، د چمتو شوي ډاکر عکس سره یوځای چې دا پلي کوي، په مؤثره توګه د پای ته رسیدو سندونو سره د سرورونو شمیر کم کړی، پداسې حال کې چې په ورته وخت کې امنیت ښه کوي.

په هرصورت، ځینې وړاندیز کونکي لاهم پریکړه کوي، د ځینې تخنیکي دلایلو لپاره، د سند اعتبار موده له 24 ساعتونو څخه ډیر وټاکي. دا ستونزه په پراخه کچه په dnscrypt-proxy کې د کوډونو د څو لینونو سره حل شوې: کارونکي د سند له پای ته رسیدو 30 ورځې دمخه یو معلوماتي خبرداری ترلاسه کوي ، بل پیغام چې د پای ته رسیدو څخه 7 ورځې دمخه د لوړې شدت کچې سره ، او یو مهم پیغام که چیرې سند پاتې وي. اعتبار له 24 ساعتونو څخه کم. دا یوازې په سندونو باندې پلي کیږي چې په پیل کې د اعتبار موده اوږده وي.

دا پیغامونه کاروونکو ته فرصت ورکوي چې مخکې له دې چې ډیر ناوخته شي د DNS آپریټرانو ته د راتلونکي سند پای ته رسیدو خبر ورکړي.

شاید که چیرې د فایرفاکس ټول کاروونکي دا ډول پیغام ترلاسه کړي، نو یو څوک به شاید پراختیا کونکو ته خبر ورکړي او دوی به اجازه ورنکړي چې سند پای ته ورسوي. "زه د عامه DNS سرورونو لیست کې یو واحد DNSCrypt سرور نه یادوم چې په تیرو دوه یا دریو کلونو کې یې سند پای ته رسیدلی وي ،" فرانک ډینس لیکي. په هر حالت کې، دا شاید غوره وي چې لومړی کاروونکو ته خبرداری ورکړئ پرته له خبرتیا پرته د توسیعونو غیر فعال کولو پرځای.

سرچینه: www.habr.com