Në të kaluarën, certifikatat shpesh skadonin sepse ato duhej të rinovoheshin manualisht. Njerëzit thjesht harruan ta bënin. Me ardhjen e Let's Encrypt dhe procedurën e përditësimit automatik, duket se problemi duhet të zgjidhet. Por e fundit tregon se, në fakt, është ende relevante. Fatkeqësisht, certifikatat vazhdojnë të skadojnë.
Në rast se e keni humbur historinë, në mesnatën e 4 majit 2019, pothuajse të gjitha shtesat e Firefox-it papritmas pushuan së funksionuari.
Siç doli, dështimi masiv ndodhi për faktin se Mozilla , e cila u përdor për të nënshkruar shtesat. Prandaj, ato u shënuan si "të pavlefshme" dhe nuk u verifikuan (). Në forume, si një zgjidhje, u rekomandua të çaktivizoni verifikimin e nënshkrimit të shtesës about: config ose ndryshimi i orës së sistemit.
Mozilla lëshoi shpejt patch-in Firefox 66.0.4, i cili zgjidh problemin me një certifikatë të pavlefshme dhe të gjitha shtesat kthehen në normalitet. Zhvilluesit rekomandojnë instalimin e tij dhe nuk ka zgjidhje për të anashkaluar verifikimin e nënshkrimit sepse ato mund të bien ndesh me patch-in.
Megjithatë, kjo histori tregon edhe një herë se skadimi i certifikatës mbetet një çështje urgjente edhe sot.
Në këtë drejtim, është interesante të shikohet një mënyrë mjaft origjinale se si zhvilluesit e protokollit e trajtuan këtë detyrë . Zgjidhja e tyre mund të ndahet në dy pjesë. Së pari, këto janë certifikata afatshkurtra. Së dyti, paralajmërimi i përdoruesve për skadimin e atyre afatgjata.
DNSCrypt
DNSCrypt është një protokoll i enkriptimit të trafikut DNS. Ai mbron komunikimet DNS nga përgjimet dhe MiTM, dhe gjithashtu ju lejon të anashkaloni bllokimin në nivelin e pyetjes DNS.
Protokolli mbështjell trafikun DNS midis klientit dhe serverit në një konstrukt kriptografik, duke operuar mbi protokollet e transportit UDP dhe TCP. Për ta përdorur atë, si klienti ashtu edhe zgjidhësi DNS duhet të mbështesin DNSCrypt. Për shembull, që nga marsi 2016, ai është aktivizuar në serverët e tij DNS dhe në shfletuesin Yandex. Disa ofrues të tjerë kanë njoftuar gjithashtu mbështetje, duke përfshirë Google dhe Cloudflare. Fatkeqësisht, nuk ka shumë prej tyre (152 serverë DNS publik janë të listuar në faqen zyrtare të internetit). Por programi mund të instalohet manualisht në klientët Linux, Windows dhe MacOS. Ka gjithashtu .
Si funksionon DNSCrypt? Shkurtimisht, klienti merr çelësin publik të ofruesit të zgjedhur dhe e përdor atë për të verifikuar certifikatat e tij. Çelësat publikë afatshkurtër për sesionin dhe identifikuesi i grupit të shifrave janë tashmë aty. Klientët inkurajohen të gjenerojnë një çelës të ri për çdo kërkesë, dhe serverët inkurajohen të ndryshojnë çelësat çdo 24 orë. Kur shkëmbeni çelësat, përdoret algoritmi X25519, për nënshkrim - EdDSA, për kriptim blloku - XSalsa20-Poly1305 ose XChaCha20-Poly1305.
Një nga zhvilluesit e protokollit Frank Denis se ndërrimi automatik çdo 24 orë zgjidhi problemin e certifikatave të skaduara. Në parim, klienti i referencës dnscrypt-proxy pranon certifikata me çdo periudhë vlefshmërie, por lëshon një paralajmërim "Periudha e çelësit dnscrypt-proxy për këtë server është shumë e gjatë" nëse është e vlefshme për më shumë se 24 orë. Në të njëjtën kohë, u lëshua një imazh Docker, në të cilin u zbatua një ndryshim i shpejtë i çelësave (dhe certifikatave).
Së pari, është jashtëzakonisht i dobishëm për sigurinë: nëse serveri është i rrezikuar ose çelësi rrjedh, atëherë trafiku i djeshëm nuk mund të deshifrohet. Çelësi tashmë ka ndryshuar. Kjo ka të ngjarë të përbëjë një problem për zbatimin e Ligjit Yarovaya, i cili detyron ofruesit të ruajnë të gjithë trafikun, duke përfshirë trafikun e koduar. Implikimi është se më vonë mund të deshifrohet nëse është e nevojshme duke kërkuar çelësin nga faqja. Por në këtë rast, faqja thjesht nuk mund ta sigurojë atë, sepse përdor çelësa afatshkurtër, duke fshirë të vjetrat.
Por më e rëndësishmja, shkruan Denis, çelësat afatshkurtër detyrojnë serverët të vendosin automatizimin që në ditën e parë. Nëse serveri lidhet me rrjetin dhe skriptet e ndryshimit të çelësave nuk janë konfiguruar ose nuk funksionojnë, kjo do të zbulohet menjëherë.
Kur automatizimi ndryshon çelësat çdo disa vjet, nuk mund të mbështetet tek ai dhe njerëzit mund të harrojnë skadimin e certifikatës. Nëse i ndryshoni çelësat çdo ditë, kjo do të zbulohet menjëherë.
Në të njëjtën kohë, nëse automatizimi është konfiguruar normalisht, atëherë nuk ka rëndësi se sa shpesh ndryshohen çelësat: çdo vit, çdo tremujor ose tre herë në ditë. Nëse gjithçka funksionon për më shumë se 24 orë, do të funksionojë përgjithmonë, shkruan Frank Denis. Sipas tij, rekomandimi i rrotullimit ditor të çelësave në versionin e dytë të protokollit, së bashku me një imazh të gatshëm Docker që e zbaton atë, uli efektivisht numrin e serverëve me certifikata të skaduara, duke përmirësuar njëkohësisht sigurinë.
Megjithatë, disa ofrues ende vendosën, për disa arsye teknike, të caktojnë periudhën e vlefshmërisë së certifikatës në më shumë se 24 orë. Ky problem u zgjidh kryesisht me disa rreshta kodi në dnscrypt-proxy: përdoruesit marrin një paralajmërim informues 30 ditë përpara skadimit të certifikatës, një mesazh tjetër me një nivel më të lartë ashpërsie 7 ditë para skadimit dhe një mesazh kritik nëse certifikata ka ndonjë të mbetur. vlefshmëria më pak se 24 orë. Kjo vlen vetëm për certifikatat që fillimisht kanë një periudhë të gjatë vlefshmërie.
Këto mesazhe u japin përdoruesve mundësinë të njoftojnë operatorët DNS për skadimin e afërt të certifikatës përpara se të jetë tepër vonë.
Ndoshta nëse të gjithë përdoruesit e Firefox-it do të merrnin një mesazh të tillë, atëherë dikush ndoshta do të informonte zhvilluesit dhe ata nuk do të lejonin që certifikata të skadonte. “Nuk më kujtohet një server i vetëm DNSCrypt në listën e serverëve publikë DNS që i ka skaduar certifikata në dy ose tre vitet e fundit,” shkruan Frank Denis. Në çdo rast, ndoshta është më mirë që së pari të paralajmërohen përdoruesit sesa të çaktivizohen shtesat pa paralajmërim.
Burimi: www.habr.com