Në të kaluarën, certifikatat shpesh skadonin sepse ato duhej të rinovoheshin manualisht. Njerëzit thjesht harruan ta bënin. Me ardhjen e Let's Encrypt dhe procedurën e përditësimit automatik, duket se problemi duhet të zgjidhet. Por e fundit
Në rast se e keni humbur historinë, në mesnatën e 4 majit 2019, pothuajse të gjitha shtesat e Firefox-it papritmas pushuan së funksionuari.
Siç doli, dështimi masiv ndodhi për faktin se Mozilla
Mozilla lëshoi shpejt patch-in Firefox 66.0.4, i cili zgjidh problemin me një certifikatë të pavlefshme dhe të gjitha shtesat kthehen në normalitet. Zhvilluesit rekomandojnë instalimin e tij dhe
Megjithatë, kjo histori tregon edhe një herë se skadimi i certifikatës mbetet një çështje urgjente edhe sot.
Në këtë drejtim, është interesante të shikohet një mënyrë mjaft origjinale se si zhvilluesit e protokollit e trajtuan këtë detyrë
DNSCrypt
DNSCrypt është një protokoll i enkriptimit të trafikut DNS. Ai mbron komunikimet DNS nga përgjimet dhe MiTM, dhe gjithashtu ju lejon të anashkaloni bllokimin në nivelin e pyetjes DNS.
Protokolli mbështjell trafikun DNS midis klientit dhe serverit në një konstrukt kriptografik, duke operuar mbi protokollet e transportit UDP dhe TCP. Për ta përdorur atë, si klienti ashtu edhe zgjidhësi DNS duhet të mbështesin DNSCrypt. Për shembull, që nga marsi 2016, ai është aktivizuar në serverët e tij DNS dhe në shfletuesin Yandex. Disa ofrues të tjerë kanë njoftuar gjithashtu mbështetje, duke përfshirë Google dhe Cloudflare. Fatkeqësisht, nuk ka shumë prej tyre (152 serverë DNS publik janë të listuar në faqen zyrtare të internetit). Por programi
Si funksionon DNSCrypt? Shkurtimisht, klienti merr çelësin publik të ofruesit të zgjedhur dhe e përdor atë për të verifikuar certifikatat e tij. Çelësat publikë afatshkurtër për sesionin dhe identifikuesi i grupit të shifrave janë tashmë aty. Klientët inkurajohen të gjenerojnë një çelës të ri për çdo kërkesë, dhe serverët inkurajohen të ndryshojnë çelësat çdo 24 orë. Kur shkëmbeni çelësat, përdoret algoritmi X25519, për nënshkrim - EdDSA, për kriptim blloku - XSalsa20-Poly1305 ose XChaCha20-Poly1305.
Një nga zhvilluesit e protokollit Frank Denis
Së pari, është jashtëzakonisht i dobishëm për sigurinë: nëse serveri është i rrezikuar ose çelësi rrjedh, atëherë trafiku i djeshëm nuk mund të deshifrohet. Çelësi tashmë ka ndryshuar. Kjo ka të ngjarë të përbëjë një problem për zbatimin e Ligjit Yarovaya, i cili detyron ofruesit të ruajnë të gjithë trafikun, duke përfshirë trafikun e koduar. Implikimi është se më vonë mund të deshifrohet nëse është e nevojshme duke kërkuar çelësin nga faqja. Por në këtë rast, faqja thjesht nuk mund ta sigurojë atë, sepse përdor çelësa afatshkurtër, duke fshirë të vjetrat.
Por më e rëndësishmja, shkruan Denis, çelësat afatshkurtër detyrojnë serverët të vendosin automatizimin që në ditën e parë. Nëse serveri lidhet me rrjetin dhe skriptet e ndryshimit të çelësave nuk janë konfiguruar ose nuk funksionojnë, kjo do të zbulohet menjëherë.
Kur automatizimi ndryshon çelësat çdo disa vjet, nuk mund të mbështetet tek ai dhe njerëzit mund të harrojnë skadimin e certifikatës. Nëse i ndryshoni çelësat çdo ditë, kjo do të zbulohet menjëherë.
Në të njëjtën kohë, nëse automatizimi është konfiguruar normalisht, atëherë nuk ka rëndësi se sa shpesh ndryshohen çelësat: çdo vit, çdo tremujor ose tre herë në ditë. Nëse gjithçka funksionon për më shumë se 24 orë, do të funksionojë përgjithmonë, shkruan Frank Denis. Sipas tij, rekomandimi i rrotullimit ditor të çelësave në versionin e dytë të protokollit, së bashku me një imazh të gatshëm Docker që e zbaton atë, uli efektivisht numrin e serverëve me certifikata të skaduara, duke përmirësuar njëkohësisht sigurinë.
Megjithatë, disa ofrues ende vendosën, për disa arsye teknike, të caktojnë periudhën e vlefshmërisë së certifikatës në më shumë se 24 orë. Ky problem u zgjidh kryesisht me disa rreshta kodi në dnscrypt-proxy: përdoruesit marrin një paralajmërim informues 30 ditë përpara skadimit të certifikatës, një mesazh tjetër me një nivel më të lartë ashpërsie 7 ditë para skadimit dhe një mesazh kritik nëse certifikata ka ndonjë të mbetur. vlefshmëria më pak se 24 orë. Kjo vlen vetëm për certifikatat që fillimisht kanë një periudhë të gjatë vlefshmërie.
Këto mesazhe u japin përdoruesve mundësinë të njoftojnë operatorët DNS për skadimin e afërt të certifikatës përpara se të jetë tepër vonë.
Ndoshta nëse të gjithë përdoruesit e Firefox-it do të merrnin një mesazh të tillë, atëherë dikush ndoshta do të informonte zhvilluesit dhe ata nuk do të lejonin që certifikata të skadonte. “Nuk më kujtohet një server i vetëm DNSCrypt në listën e serverëve publikë DNS që i ka skaduar certifikata në dy ose tre vitet e fundit,” shkruan Frank Denis. Në çdo rast, ndoshta është më mirë që së pari të paralajmërohen përdoruesit sesa të çaktivizohen shtesat pa paralajmërim.
Burimi: www.habr.com