අතීතයේදී, සහතික බොහෝ විට කල් ඉකුත් වූයේ ඒවා අතින් අලුත් කළ යුතු බැවිනි. මිනිසුන්ට එය කිරීමට අමතක විය. Let's Encrypt සහ ස්වයංක්රීය යාවත්කාලීන ක්රියා පටිපාටිය පැමිණීමත් සමඟ ගැටළුව විසඳිය යුතු බව පෙනේ. නමුත් මෑතක
ඔබට කතාව මග හැරුනේ නම්, 4 මැයි 2019 මධ්යම රාත්රියේදී, ෆයර්ෆොක්ස් දිගු සියල්ලම පාහේ හදිසියේම ක්රියා කිරීම නතර විය.
එය සිදු වූ පරිදි, දැවැන්ත අසාර්ථකත්වය සිදු වූයේ මොසිල්ලා නිසාය
Mozilla ඉක්මනින් ෆයර්ෆොක්ස් 66.0.4 පැච් නිකුත් කරන ලද අතර, එය වලංගු නොවන සහතිකයක් සමඟ ගැටළුව විසඳන අතර, සියලු දිගුවන් සාමාන්ය තත්ත්වයට පත් වේ. සංවර්ධකයින් එය ස්ථාපනය කිරීම නිර්දේශ කරයි
කෙසේ වෙතත්, සහතිකය කල් ඉකුත්වීම අද වන විට දැවෙන ගැටලුවක් ලෙස පවතින බව මෙම කතාවෙන් නැවත වරක් පෙන්නුම් කරයි.
මේ සම්බන්ධයෙන්, ප්රොටෝකෝල සංවර්ධකයින් මෙම කාර්යය සමඟ කටයුතු කළ ආකාරය තරමක් මුල් ආකාරයක් දෙස බැලීම සිත්ගන්නා කරුණකි
DNSCrypt
DNSCrypt යනු DNS ගමනාගමන සංකේතාංකන ප්රොටෝකෝලයකි. එය ඩීඑන්එස් සන්නිවේදනයන් බාධා කිරීම් සහ එම්අයිටීඑම් වලින් ආරක්ෂා කරන අතර, ඩීඑන්එස් විමසුම් මට්ටමින් අවහිර කිරීම මග හැරීමට ද ඔබට ඉඩ සලසයි.
ප්රොටෝකෝලය UDP සහ TCP ප්රවාහන ප්රොටෝකෝල හරහා ක්රියාත්මක වන ගුප්ත ලේඛන නිර්මාණයක සේවාදායකයා සහ සේවාදායකය අතර DNS ගමනාගමනය ආවරණය කරයි. එය භාවිතා කිරීමට, සේවාලාභියා සහ DNS විසඳුම යන දෙකම DNSCrypt සඳහා සහය විය යුතුය. උදාහරණයක් ලෙස, 2016 මාර්තු මාසයේ සිට, එය එහි DNS සේවාදායකයන් සහ Yandex බ්රවුසරයේ සක්රිය කර ඇත. Google සහ Cloudflare ඇතුළු තවත් සපයන්නන් කිහිප දෙනෙකු ද සහාය ප්රකාශ කර ඇත. අවාසනාවකට, ඒවායින් බොහොමයක් නොමැත (152 පොදු DNS සේවාදායකයන් නිල වෙබ් අඩවියේ ලැයිස්තුගත කර ඇත). නමුත් වැඩසටහන
DNSCrypt ක්රියා කරන්නේ කෙසේද? කෙටියෙන් කිවහොත්, සේවාලාභියා තෝරාගත් සැපයුම්කරුගේ පොදු යතුර රැගෙන එහි සහතික තහවුරු කිරීමට එය භාවිතා කරයි. සැසිය සඳහා කෙටි කාලීන පොදු යතුරු සහ කේතාංක කට්ටල හැඳුනුම්කාරකය දැනටමත් ඇත. එක් එක් ඉල්ලීම සඳහා නව යතුරක් උත්පාදනය කිරීමට සේවාදායකයින් දිරිමත් කරනු ලබන අතර යතුරු වෙනස් කිරීමට සේවාදායකයන් දිරිමත් කරනු ලැබේ සෑම පැය 24 කට වරක්. යතුරු හුවමාරු කිරීමේදී, X25519 ඇල්ගොරිතම භාවිතා කරනු ලැබේ, අත්සන් කිරීම සඳහා - EdDSA, වාරණ සංකේතනය සඳහා - XSalsa20-Poly1305 හෝ XChaCha20-Poly1305.
ෆ්රෑන්ක් ඩෙනිස් ප්රොටෝකෝල සංවර්ධකයින්ගෙන් කෙනෙක්
පළමුව, එය ආරක්ෂාව සඳහා අතිශයින්ම ප්රයෝජනවත් වේ: සේවාදායකය සම්මුතියකට ලක්ව ඇත්නම් හෝ යතුර කාන්දු වී ඇත්නම්, ඊයේ ගමනාගමනය විකේතනය කළ නොහැක. යතුර දැනටමත් වෙනස් වී ඇත. සංකේතාත්මක ගමනාගමනය ඇතුළුව සියලුම ගමනාගමනය ගබඩා කිරීමට සැපයුම්කරුවන්ට බල කරන Yarovaya නීතිය ක්රියාත්මක කිරීම සඳහා මෙය ගැටළුවක් වනු ඇත. යතුර වෙබ් අඩවියෙන් ඉල්ලා සිටීමෙන් පසුව අවශ්ය නම් එය විකේතනය කළ හැකි බව ය. නමුත් මෙම අවස්ථාවේදී, වෙබ් අඩවිය සරලව එය ලබා දිය නොහැක, එය කෙටි කාලීන යතුරු භාවිතා කරන නිසා, පැරණි ඒවා මකා දැමීම.
නමුත් වඩාත්ම වැදගත් දෙය නම්, ඩෙනිස් ලියන්නේ, කෙටි කාලීන යතුරු පළමු දිනයේ සිට ස්වයංක්රීයකරණය සැකසීමට සේවාදායකයන්ට බල කරයි. සේවාදායකය ජාලයට සම්බන්ධ වන්නේ නම් සහ යතුරු වෙනස් කිරීමේ ස්ක්රිප්ට් වින්යාස කර නොමැති නම් හෝ ක්රියා නොකරන්නේ නම්, මෙය වහාම අනාවරණය වේ.
ස්වයංක්රීයකරණය සෑම වසර කිහිපයකට වරක් යතුරු වෙනස් කරන විට, එය මත විශ්වාසය තැබිය නොහැකි අතර, සහතික කල් ඉකුත්වීම ගැන මිනිසුන්ට අමතක විය හැක. ඔබ දිනපතා යතුරු වෙනස් කරන්නේ නම්, මෙය ක්ෂණිකව අනාවරණය වේ.
ඒ අතරම, ස්වයංක්රීයකරණය සාමාන්යයෙන් වින්යාස කර ඇත්නම්, යතුරු කොපමණ වාරයක් වෙනස් කරන්නේද යන්න ගැටළුවක් නොවේ: සෑම වසරකම, සෑම කාර්තුවකම හෝ දිනකට තුන් වරක්. සෑම දෙයක්ම පැය 24 කට වඩා වැඩ කරන්නේ නම්, එය සදහටම වැඩ කරනු ඇත, ෆ්රෑන්ක් ඩෙනිස් ලියයි. ඔහුට අනුව, ප්රොටෝකෝලයේ දෙවන අනුවාදයේ දෛනික යතුරු භ්රමණය කිරීම නිර්දේශ කිරීම, එය ක්රියාත්මක කරන සූදානම් කළ ඩොකර් රූපයක් සමඟින්, කල් ඉකුත් වූ සහතික සහිත සේවාදායකයන් සංඛ්යාව ඵලදායී ලෙස අඩු කළ අතර, ඒ සමඟම ආරක්ෂාව වැඩි දියුණු කරයි.
කෙසේ වෙතත්, සමහර සැපයුම්කරුවන් තවමත්, සමහර තාක්ෂණික හේතූන් මත, සහතික වලංගු කාලය පැය 24 කට වඩා වැඩි කිරීමට තීරණය කර ඇත. dnscrypt-proxy හි ඇති කේත පේළි කිහිපයකින් මෙම ගැටළුව බොහෝ දුරට විසඳා ඇත: සහතිකය කල් ඉකුත් වීමට දින 30 කට පෙර පරිශීලකයින්ට තොරතුරු අනතුරු ඇඟවීමක්, කල් ඉකුත් වීමට දින 7 කට පෙර ඉහළ බරපතලකම සහිත තවත් පණිවිඩයක් සහ සහතිකයේ ඉතිරිව තිබේ නම් විවේචනාත්මක පණිවිඩයක් ලැබේ. වලංගු කාලය පැය 24 කට අඩු කාලයක්. මෙය අදාළ වන්නේ මුලින් දීර්ඝ වලංගු කාල සීමාවක් ඇති සහතික සඳහා පමණි.
මෙම පණිවිඩ පරිශීලකයින්ට ප්රමාද වීමට පෙර ඉදිරියේදී සහතික කල් ඉකුත්වීම පිළිබඳව DNS ක්රියාකරුවන්ට දැනුම් දීමට අවස්ථාව ලබා දේ.
සමහර විට සියලුම ෆයර්ෆොක්ස් පරිශීලකයින්ට එවැනි පණිවිඩයක් ලැබුනේ නම්, යමෙකු බොහෝ විට සංවර්ධකයින්ට දැනුම් දෙනු ඇති අතර ඔවුන් සහතිකය කල් ඉකුත් වීමට ඉඩ නොදෙනු ඇත. "පසුගිය වසර දෙක තුන තුළ සහතිකය කල් ඉකුත් වී ඇති පොදු DNS සේවාදායක ලැයිස්තුවේ එක DNSCrypt සේවාදායකයක්වත් මට මතක නැත" යනුවෙන් Frank Denis ලියයි. ඕනෑම අවස්ථාවක, අනතුරු ඇඟවීමකින් තොරව දිගු අක්රිය කිරීමට වඩා පළමුව පරිශීලකයින්ට අනතුරු ඇඟවීම වඩා හොඳය.
මූලාශ්රය: www.habr.com