අතීතයේදී, සහතික බොහෝ විට කල් ඉකුත් වූයේ ඒවා අතින් අලුත් කළ යුතු බැවිනි. මිනිසුන්ට එය කිරීමට අමතක විය. Let's Encrypt සහ ස්වයංක්‍රීය යාවත්කාලීන ක්‍රියා පටිපාටිය පැමිණීමත් සමඟ ගැටළුව විසඳිය යුතු බව පෙනේ. නමුත් මෑතක ෆයර්ෆොක්ස් කතාව එය ඇත්ත වශයෙන්ම තවමත් අදාළ බව පෙන්නුම් කරයි. අවාසනාවකට, සහතික දිගටම කල් ඉකුත් වේ.

ඔබට කතාව මග හැරුනේ නම්, 4 මැයි 2019 මධ්‍යම රාත්‍රියේදී, ෆයර්ෆොක්ස් දිගු සියල්ලම පාහේ හදිසියේම ක්‍රියා කිරීම නතර විය.

එය සිදු වූ පරිදි, දැවැන්ත අසාර්ථකත්වය සිදු වූයේ මොසිල්ලා නිසාය සහතිකය කල් ඉකුත් වී ඇත, දිගු අත්සන් කිරීමට භාවිතා කරන ලදී. එබැවින්, ඒවා "අවලංගු" ලෙස සලකුණු කර ඇති අතර සත්‍යාපනය කර නොමැත (තාක්ෂණික තොරතුරු) සංසදවලදී, විසඳුමක් ලෙස, දිගු අත්සන සත්‍යාපනය අක්‍රිය කිරීමට නිර්දේශ කරන ලදී ගැන: config හෝ පද්ධති ඔරලෝසුව වෙනස් කිරීම.

Mozilla ඉක්මනින් ෆයර්ෆොක්ස් 66.0.4 පැච් නිකුත් කරන ලද අතර, එය වලංගු නොවන සහතිකයක් සමඟ ගැටළුව විසඳන අතර, සියලු දිගුවන් සාමාන්ය තත්ත්වයට පත් වේ. සංවර්ධකයින් එය ස්ථාපනය කිරීම නිර්දේශ කරයි පාවිච්චි කරන්න එපා අත්සන සත්‍යාපනය මඟ හැරීමට ප්‍රතිකර්ම නැත, මන්ද ඒවා පැච් සමඟ ගැටීමට ඉඩ ඇත.

කෙසේ වෙතත්, සහතිකය කල් ඉකුත්වීම අද වන විට දැවෙන ගැටලුවක් ලෙස පවතින බව මෙම කතාවෙන් නැවත වරක් පෙන්නුම් කරයි.

මේ සම්බන්ධයෙන්, ප්‍රොටෝකෝල සංවර්ධකයින් මෙම කාර්යය සමඟ කටයුතු කළ ආකාරය තරමක් මුල් ආකාරයක් දෙස බැලීම සිත්ගන්නා කරුණකි DNSCrypt. ඔවුන්ගේ විසඳුම කොටස් දෙකකට බෙදිය හැකිය. පළමුව, මේවා කෙටි කාලීන සහතික වේ. දෙවනුව, දිගු කාලීනව කල් ඉකුත්වීම ගැන පරිශීලකයින්ට අනතුරු ඇඟවීම.

DNSCrypt

DNSCrypt යනු DNS ගමනාගමන සංකේතාංකන ප්‍රොටෝකෝලයකි. එය ඩීඑන්එස් සන්නිවේදනයන් බාධා කිරීම් සහ එම්අයිටීඑම් වලින් ආරක්ෂා කරන අතර, ඩීඑන්එස් විමසුම් මට්ටමින් අවහිර කිරීම මග හැරීමට ද ඔබට ඉඩ සලසයි.

ප්‍රොටෝකෝලය UDP සහ TCP ප්‍රවාහන ප්‍රොටෝකෝල හරහා ක්‍රියාත්මක වන ගුප්ත ලේඛන නිර්මාණයක සේවාදායකයා සහ සේවාදායකය අතර DNS ගමනාගමනය ආවරණය කරයි. එය භාවිතා කිරීමට, සේවාලාභියා සහ DNS විසඳුම යන දෙකම DNSCrypt සඳහා සහය විය යුතුය. උදාහරණයක් ලෙස, 2016 මාර්තු මාසයේ සිට, එය එහි DNS සේවාදායකයන් සහ Yandex බ්රවුසරයේ සක්රිය කර ඇත. Google සහ Cloudflare ඇතුළු තවත් සපයන්නන් කිහිප දෙනෙකු ද සහාය ප්‍රකාශ කර ඇත. අවාසනාවකට, ඒවායින් බොහොමයක් නොමැත (152 පොදු DNS සේවාදායකයන් නිල වෙබ් අඩවියේ ලැයිස්තුගත කර ඇත). නමුත් වැඩසටහන dnscrypt-proxy Linux, Windows සහ MacOS සේවාලාභීන් මත අතින් ස්ථාපනය කල හැක. ද ඇත සේවාදායක ක්රියාත්මක කිරීම්.

DNSCrypt ක්‍රියා කරන්නේ කෙසේද? කෙටියෙන් කිවහොත්, සේවාලාභියා තෝරාගත් සැපයුම්කරුගේ පොදු යතුර රැගෙන එහි සහතික තහවුරු කිරීමට එය භාවිතා කරයි. සැසිය සඳහා කෙටි කාලීන පොදු යතුරු සහ කේතාංක කට්ටල හැඳුනුම්කාරකය දැනටමත් ඇත. එක් එක් ඉල්ලීම සඳහා නව යතුරක් උත්පාදනය කිරීමට සේවාදායකයින් දිරිමත් කරනු ලබන අතර යතුරු වෙනස් කිරීමට සේවාදායකයන් දිරිමත් කරනු ලැබේ සෑම පැය 24 කට වරක්. යතුරු හුවමාරු කිරීමේදී, X25519 ඇල්ගොරිතම භාවිතා කරනු ලැබේ, අත්සන් කිරීම සඳහා - EdDSA, වාරණ සංකේතනය සඳහා - XSalsa20-Poly1305 හෝ XChaCha20-Poly1305.

ෆ්‍රෑන්ක් ඩෙනිස් ප්‍රොටෝකෝල සංවර්ධකයින්ගෙන් කෙනෙක් ඔහු මෙසේ ලියයිසෑම පැය 24 කට වරක් ස්වයංක්‍රීයව ප්‍රතිස්ථාපනය කිරීම කල් ඉකුත් වූ සහතිකවල ගැටලුව විසඳා ඇති බව. ප්‍රතිපත්තිමය වශයෙන්, dnscrypt-proxy reference සේවාලාභියා ඕනෑම වලංගු කාල සීමාවක් සහිත සහතික පිළිගනී, නමුත් එය පැය 24කට වඩා වලංගු නම් "මෙම සේවාදායකය සඳහා dnscrypt-proxy යතුරු කාලසීමාව ඉතා දිගු වේ" යනුවෙන් අනතුරු ඇඟවීමක් නිකුත් කරයි. ඒ සමගම, ඩොකර් රූපයක් නිකුත් කරන ලද අතර, යතුරු (සහ සහතික) ඉක්මන් වෙනස් කිරීමක් ක්රියාත්මක කරන ලදී.

පළමුව, එය ආරක්ෂාව සඳහා අතිශයින්ම ප්‍රයෝජනවත් වේ: සේවාදායකය සම්මුතියකට ලක්ව ඇත්නම් හෝ යතුර කාන්දු වී ඇත්නම්, ඊයේ ගමනාගමනය විකේතනය කළ නොහැක. යතුර දැනටමත් වෙනස් වී ඇත. සංකේතාත්මක ගමනාගමනය ඇතුළුව සියලුම ගමනාගමනය ගබඩා කිරීමට සැපයුම්කරුවන්ට බල කරන Yarovaya නීතිය ක්‍රියාත්මක කිරීම සඳහා මෙය ගැටළුවක් වනු ඇත. යතුර වෙබ් අඩවියෙන් ඉල්ලා සිටීමෙන් පසුව අවශ්‍ය නම් එය විකේතනය කළ හැකි බව ය. නමුත් මෙම අවස්ථාවේදී, වෙබ් අඩවිය සරලව එය ලබා දිය නොහැක, එය කෙටි කාලීන යතුරු භාවිතා කරන නිසා, පැරණි ඒවා මකා දැමීම.

නමුත් වඩාත්ම වැදගත් දෙය නම්, ඩෙනිස් ලියන්නේ, කෙටි කාලීන යතුරු පළමු දිනයේ සිට ස්වයංක්‍රීයකරණය සැකසීමට සේවාදායකයන්ට බල කරයි. සේවාදායකය ජාලයට සම්බන්ධ වන්නේ නම් සහ යතුරු වෙනස් කිරීමේ ස්ක්‍රිප්ට් වින්‍යාස කර නොමැති නම් හෝ ක්‍රියා නොකරන්නේ නම්, මෙය වහාම අනාවරණය වේ.

ස්වයංක්‍රීයකරණය සෑම වසර කිහිපයකට වරක් යතුරු වෙනස් කරන විට, එය මත විශ්වාසය තැබිය නොහැකි අතර, සහතික කල් ඉකුත්වීම ගැන මිනිසුන්ට අමතක විය හැක. ඔබ දිනපතා යතුරු වෙනස් කරන්නේ නම්, මෙය ක්ෂණිකව අනාවරණය වේ.

ඒ අතරම, ස්වයංක්‍රීයකරණය සාමාන්‍යයෙන් වින්‍යාස කර ඇත්නම්, යතුරු කොපමණ වාරයක් වෙනස් කරන්නේද යන්න ගැටළුවක් නොවේ: සෑම වසරකම, සෑම කාර්තුවකම හෝ දිනකට තුන් වරක්. සෑම දෙයක්ම පැය 24 කට වඩා වැඩ කරන්නේ නම්, එය සදහටම වැඩ කරනු ඇත, ෆ්රෑන්ක් ඩෙනිස් ලියයි. ඔහුට අනුව, ප්‍රොටෝකෝලයේ දෙවන අනුවාදයේ දෛනික යතුරු භ්‍රමණය කිරීම නිර්දේශ කිරීම, එය ක්‍රියාත්මක කරන සූදානම් කළ ඩොකර් රූපයක් සමඟින්, කල් ඉකුත් වූ සහතික සහිත සේවාදායකයන් සංඛ්‍යාව ඵලදායී ලෙස අඩු කළ අතර, ඒ සමඟම ආරක්ෂාව වැඩි දියුණු කරයි.

කෙසේ වෙතත්, සමහර සැපයුම්කරුවන් තවමත්, සමහර තාක්ෂණික හේතූන් මත, සහතික වලංගු කාලය පැය 24 කට වඩා වැඩි කිරීමට තීරණය කර ඇත. dnscrypt-proxy හි ඇති කේත පේළි කිහිපයකින් මෙම ගැටළුව බොහෝ දුරට විසඳා ඇත: සහතිකය කල් ඉකුත් වීමට දින 30 කට පෙර පරිශීලකයින්ට තොරතුරු අනතුරු ඇඟවීමක්, කල් ඉකුත් වීමට දින 7 කට පෙර ඉහළ බරපතලකම සහිත තවත් පණිවිඩයක් සහ සහතිකයේ ඉතිරිව තිබේ නම් විවේචනාත්මක පණිවිඩයක් ලැබේ. වලංගු කාලය පැය 24 කට අඩු කාලයක්. මෙය අදාළ වන්නේ මුලින් දීර්ඝ වලංගු කාල සීමාවක් ඇති සහතික සඳහා පමණි.

මෙම පණිවිඩ පරිශීලකයින්ට ප්‍රමාද වීමට පෙර ඉදිරියේදී සහතික කල් ඉකුත්වීම පිළිබඳව DNS ක්‍රියාකරුවන්ට දැනුම් දීමට අවස්ථාව ලබා දේ.

සමහර විට සියලුම ෆයර්ෆොක්ස් පරිශීලකයින්ට එවැනි පණිවිඩයක් ලැබුනේ නම්, යමෙකු බොහෝ විට සංවර්ධකයින්ට දැනුම් දෙනු ඇති අතර ඔවුන් සහතිකය කල් ඉකුත් වීමට ඉඩ නොදෙනු ඇත. "පසුගිය වසර දෙක තුන තුළ සහතිකය කල් ඉකුත් වී ඇති පොදු DNS සේවාදායක ලැයිස්තුවේ එක DNSCrypt සේවාදායකයක්වත් මට මතක නැත" යනුවෙන් Frank Denis ලියයි. ඕනෑම අවස්ථාවක, අනතුරු ඇඟවීමකින් තොරව දිගු අක්‍රිය කිරීමට වඩා පළමුව පරිශීලකයින්ට අනතුරු ඇඟවීම වඩා හොඳය.

මූලාශ්රය: www.habr.com