ماضي ۾، سرٽيفڪيٽ اڪثر ختم ٿي ويا آهن ڇاڪاڻ ته انهن کي دستي طور تي تجديد ڪيو وڃي ها. ماڻهو صرف اهو ڪرڻ وساري ويٺا. Let's Encrypt ۽ خودڪار تازه ڪاري جي عمل جي اچڻ سان، اهو لڳي ٿو ته مسئلو حل ڪيو وڃي. پر تازو ڏيکاري ٿو ته اهو، حقيقت ۾، اڃا به لاڳاپيل آهي. بدقسمتي سان، سرٽيفڪيٽ ختم ٿيڻ جاري آهي.
جيڪڏهن توهان ڪهاڻي کي ياد ڪيو، 4 مئي 2019 تي اڌ رات تي، لڳ ڀڳ سڀني فائر فاڪس ايڪسٽينشن اوچتو ڪم ڪرڻ بند ڪيو.
جيئن ته اهو نڪتو، وڏي ناڪامي حقيقت اها آهي ته Mozilla جي ڪري ٿي ، جيڪو واڌارن کي سائن ڪرڻ لاءِ استعمال ڪيو ويو. تنهن ڪري، انهن کي "غلط" طور نشان لڳايو ويو ۽ تصديق نه ڪيو ويو (). فورمز تي، هڪ حل جي طور تي، ان ۾ واڌ جي دستخط جي تصديق کي غير فعال ڪرڻ جي سفارش ڪئي وئي هئي اٽڪل: ترتيب يا سسٽم ڪلاڪ کي تبديل ڪرڻ.
Mozilla فوري طور تي فائر فاکس 66.0.4 پيچ کي جاري ڪيو، جيڪو غلط سرٽيفڪيٽ سان مسئلو حل ڪري ٿو، ۽ سڀئي واڌايون معمول تي واپس اچن ٿيون. ڊولپرز ان کي انسٽال ڪرڻ جي صلاح ڏين ٿا ۽ دستخط جي تصديق کي نظرانداز ڪرڻ لاءِ ڪوبه حل ناهي ڇو ته اهي پيچ سان تڪرار ڪري سگهن ٿا.
بهرحال، هي ڪهاڻي هڪ ڀيرو ٻيهر ڏيکاري ٿو ته سرٽيفڪيٽ جي ختم ٿيڻ جو اڄ به هڪ اهم مسئلو آهي.
انهي سلسلي ۾، اهو ڏسڻ لاء دلچسپ آهي ته اصل طريقي سان ڪيئن پروٽوڪول ڊولپرز هن ڪم سان ڊيل ڪيو. . انهن جو حل ٻن حصن ۾ ورهائي سگهجي ٿو. پهرين، اهي مختصر مدت جا سرٽيفڪيٽ آهن. ٻيو، صارفين کي ڊيڄاريندڙ ڊگھي مدت جي ختم ٿيڻ بابت.
ڊي ايس ايس ڪرپٽ
DNSCrypt هڪ DNS ٽرئفڪ انڪرپشن پروٽوڪول آهي. اهو DNS ڪميونيڪيشنز کي مداخلت ۽ MiTM کان بچائيندو آهي، ۽ پڻ توهان کي اجازت ڏئي ٿو ته ڊي اين ايس سوال جي سطح تي بلاڪنگ کي پاس ڪري.
پروٽوڪول ڪلائنٽ ۽ سرور جي وچ ۾ ڊي اين ايس ٽرئفڪ کي لپي ٿو هڪ cryptographic تعمير ۾، آپريٽنگ UDP ۽ TCP ٽرانسپورٽ پروٽوڪول تي. ان کي استعمال ڪرڻ لاء، ڪلائنٽ ۽ DNS حل ڪندڙ ٻنهي کي DNSCrypt جي حمايت ڪرڻ گهرجي. مثال طور، مارچ 2016 کان وٺي، ان کي فعال ڪيو ويو آهي ان جي DNS سرورز ۽ Yandex برائوزر ۾. ڪيترن ئي ٻين مهيا ڪندڙن پڻ سپورٽ جو اعلان ڪيو آهي، بشمول گوگل ۽ Cloudflare. بدقسمتي سان، انهن مان ڪيترائي نه آهن (152 عوامي ڊي اين ايس سرورز سرڪاري ويب سائيٽ تي درج ٿيل آهن). پر پروگرام لينڪس، ونڊوز ۽ MacOS ڪلائنٽ تي دستياب طور تي نصب ڪري سگھجي ٿو. پڻ آهن .
DNSCrypt ڪيئن ڪم ڪندو آهي؟ مختصر ۾، ڪلائنٽ چونڊيل فراهم ڪندڙ جي عوامي ڪني کي وٺي ٿو ۽ ان کي استعمال ڪري ٿو ان جي سرٽيفڪيٽ جي تصديق ڪرڻ لاء. سيشن لاءِ مختصر مدي وارا عوامي چابيون ۽ سيفر سوٽ سڃاڻپ ڪندڙ اڳ ۾ ئي موجود آهن. ڪلائنٽ کي حوصلا افزائي ڪئي وڃي ٿي ته هر درخواست لاءِ هڪ نئين ڪنجي ٺاهي، ۽ سرور کي همٿايو وڃي ٿو ڪنجيون تبديل ڪرڻ لاءِ هر 24 ڪلاڪ. جڏهن ڪنجيون مٽائيندي، X25519 الورورٿم استعمال ڪيو ويندو آهي، سائن ان ڪرڻ لاءِ - EdDSA، بلاڪ انڪرپشن لاءِ - XSalsa20-Poly1305 يا XChaCha20-Poly1305.
پروٽوڪول ڊولپرز مان هڪ فرينڪ ڊينس اهو خودڪار متبادل هر 24 ڪلاڪن ۾ ختم ٿيل سرٽيفڪيٽ جو مسئلو حل ڪيو. اصول ۾، dnscrypt-proxy حوالو ڪلائنٽ ڪنهن به صحيح مدت سان سرٽيفڪيٽ قبول ڪري ٿو، پر هڪ خبرداري جاري ڪري ٿو "هن سرور لاءِ dnscrypt-proxy ڪيئي دور تمام ڊگهو آهي" جيڪڏهن اهو 24 ڪلاڪن کان وڌيڪ صحيح آهي. ساڳئي وقت، هڪ Docker تصوير جاري ڪئي وئي، جنهن ۾ چيڪن جي تڪڙو تبديلي (۽ سرٽيفڪيٽ) تي عمل ڪيو ويو.
پهريون، اهو سيڪيورٽي لاءِ انتهائي ڪارائتو آهي: جيڪڏهن سرور سمجهوتو ڪيو ويو آهي يا چاٻي لڪي وئي آهي، ته پوءِ ڪالهه جي ٽريفڪ کي ڊڪري نه ٿو ڪري سگهجي. اهم اڳ ۾ ئي تبديل ٿي چڪو آهي. اهو امڪاني طور تي يارووايا قانون جي نفاذ لاءِ هڪ مسئلو پيدا ڪندو، جيڪو فراهم ڪندڙن کي انڪرپٽ ٿيل ٽريفڪ سميت سموري ٽرئفڪ کي ذخيرو ڪرڻ تي مجبور ڪري ٿو. ان جو مطلب اهو آهي ته ان کي بعد ۾ ڊيڪرپٽ ڪري سگهجي ٿو جيڪڏهن ضروري هجي ته سائيٽ کان ڪي جي درخواست ڪندي. پر انهي صورت ۾، سائيٽ صرف ان کي مهيا نه ڪري سگهي ٿي، ڇاڪاڻ ته اهو استعمال ڪري ٿو مختصر مدت جي چابيون، پراڻين کي حذف ڪندي.
پر سڀ کان اهم، ڊينس لکي ٿو، مختصر مدت جي چابيون سرورز کي هڪ ڏينهن کان آٽوميشن قائم ڪرڻ تي مجبور ڪن ٿيون. جيڪڏهن سرور نيٽ ورڪ سان ڳنڍي ٿو ۽ اهم تبديليون اسڪرپٽ ترتيب نه آهن يا ڪم نه ڪري رهيا آهن، اهو فوري طور تي معلوم ڪيو ويندو.
جڏهن آٽوميشن هر چند سالن ۾ ڪنجيون تبديل ڪري ٿي، ان تي ڀروسو نٿو ڪري سگهجي، ۽ ماڻهو سرٽيفڪيٽ جي ختم ٿيڻ جي باري ۾ وساري سگهن ٿا. جيڪڏھن توھان روزانو ڪنجيون تبديل ڪندا، اھو فوري طور تي معلوم ٿيندو.
ساڳي ئي وقت، جيڪڏهن خودڪار طريقي سان ترتيب ڏني وئي آهي، پوء اهو مسئلو ناهي ته ڪيترا ئي ڀيرا تبديل ڪيا ويا آهن: هر سال، هر چوٿين يا ڏينهن ۾ ٽي ڀيرا. جيڪڏهن هر شي 24 ڪلاڪن کان وڌيڪ ڪم ڪري ٿي، اهو هميشه لاء ڪم ڪندو، فرينڪ ڊينس لکي ٿو. هن جي مطابق، پروٽوڪول جي ٻئي ورزن ۾ روزاني اهم گھمڻ جي سفارش، گڏو گڏ تيار ٿيل ڊاکر تصوير سان گڏ جيڪو ان کي لاڳو ڪري ٿو، مؤثر طور تي ختم ٿيل سرٽيفڪيٽن سان سرورز جو تعداد گھٽائي ٿو، جڏهن ته گڏوگڏ سيڪيورٽي کي بهتر بڻائي ٿو.
بهرحال، ڪجهه مهيا ڪندڙن اڃا تائين فيصلو ڪيو، ڪجهه ٽيڪنيڪل سببن لاء، سرٽيفڪيٽ جي صحيح مدت کي 24 ڪلاڪن کان وڌيڪ مقرر ڪرڻ لاء. اهو مسئلو گهڻو ڪري dnscrypt-proxy ۾ ڪوڊ جي چند لائينن سان حل ڪيو ويو آهي: صارفين کي هڪ معلوماتي خبرداري ملي ٿي 30 ڏينهن اڳ سرٽيفڪيٽ جي ختم ٿيڻ کان اڳ، ٻيو پيغام هڪ اعلي شدت واري سطح سان 7 ڏينهن اڳ ختم ٿيڻ کان اڳ، ۽ هڪ نازڪ پيغام جيڪڏهن سرٽيفڪيٽ ۾ باقي رهي ٿي. صحيحيت. 24 ڪلاڪن کان گهٽ. اهو صرف انهن سرٽيفڪيٽن تي لاڳو ٿئي ٿو جن جي شروعات ۾ هڪ ڊگهي صحيح مدت آهي.
اهي نياپا صارفين کي اهو موقعو ڏين ٿا ته ڊي اين ايس آپريٽرز کي مطلع ڪن ته ايندڙ سرٽيفڪيٽ جي ختم ٿيڻ کان اڳ گهڻو دير ٿي وڃي.
ٿي سگهي ٿو جيڪڏهن سڀني فائر فاڪس استعمال ڪندڙن کي اهڙو نياپو ملي ته پوءِ شايد ڪو ماڻهو ڊولپرز کي اطلاع ڏيندو ۽ اهي سرٽيفڪيٽ کي ختم ٿيڻ نه ڏيندا. ”مون کي عوامي DNS سرورز جي لسٽ تي هڪ به DNSCrypt سرور ياد ناهي جنهن جو سرٽيفڪيٽ گذريل ٻن يا ٽن سالن ۾ ختم ٿي چڪو آهي ،“ فرينڪ ڊينس لکي ٿو. ڪنهن به صورت ۾، اهو شايد بهتر آهي ته صارفين کي ڊيڄارڻ جي بجاءِ ڊيڄاريندڙن کي غير فعال ڪرڻ بجاءِ.
جو ذريعو: www.habr.com