Nakong e fetileng, litifikeiti li ne li atisa ho felloa ke nako hobane li ne li tlameha ho nchafatsoa ka letsoho. Batho ba mpa ba lebala ho e etsa. Ka ho fihla ha Let's Encrypt le ts'ebetso ea ntlafatso ea othomathike, ho bonahala eka bothata bo lokela ho rarolloa. Empa morao tjena e bontša hore, ha e le hantle, e ntse e le ea bohlokoa. Ka bomalimabe, litifikeiti li tsoela pele ho felloa ke nako.
Haeba u hlolohetsoe pale, har'a mp'a bosiu ka la 4 Mots'eanong, 2019, hoo e batlang e le likeketso tsohle tsa Firefox ka tšohanyetso li ile tsa emisa ho sebetsa.
Ha e le hantle, ho hloleha ho hoholo ho etsahetse ka lebaka la hore Mozilla , e neng e sebelisetsoa ho saena katoloso. Ka hona, li ne li tšoailoe e le "tse sa sebetseng" 'me ha lia ka tsa netefatsoa (). Libokeng, e le mokhoa oa ho sebetsa, ho ile ha khothaletsoa ho tima netefatso ea signature ho mabapi le: config kapa ho fetola oache ea sistimi.
Ka potlako Mozilla e ile ea lokolla patch ea Firefox 66.0.4, e rarollang bothata ka setifikeiti se sa sebetseng, 'me lisebelisoa tsohle li khutlela ho tloaelehileng. Bahlahisi ba khothaletsa ho e kenya le ho ha ho na li-workaround tse ka hanang netefatso ea signature hobane e kanna ea hohlana le patch.
Leha ho le joalo, pale ena e boetse e bontša hore ho felloa ke nako ha setifikeiti e ntse e le taba e hatellang kajeno.
Tabeng ena, hoa thahasellisa ho sheba mokhoa oa pele oa hore na baetsi ba protocol ba sebetsane le mosebetsi ona joang . Tharollo ea bona e ka aroloa likarolo tse peli. Taba ea pele, tsena ke litifikeiti tsa nako e khuts'oane. Taba ea bobeli, ho lemosa basebelisi ka ho felloa ke nako ha nako e telele.
Tlhatlhobo
DNSCrypt ke protocol ea encryption ea sephethephethe ea DNS. E sireletsa likhokahano tsa DNS ho tsoa lits'ebetsong le MiTM, hape e u lumella ho feta ho thibela boemo ba lipotso tsa DNS.
Protocol e koahela sephethephethe sa DNS lipakeng tsa moreki le seva ka har'a sebopeho sa "cryptographic", se sebetsang holim'a liprothokholo tsa lipalangoang tsa UDP le TCP. Ho e sebelisa, moreki le DNS resolution ba tlameha ho tšehetsa DNSCrypt. Ka mohlala, ho tloha ka March 2016, e 'nile ea sebelisoa ho li-server tsa eona tsa DNS le ho sebatli sa Yandex. Bafani ba bang ba 'maloa le bona ba phatlalalitse tšehetso, ho kenyeletsoa Google le Cloudflare. Ka bomalimabe, ha ho na tse ngata tsa tsona (li-server tsa DNS tse 152 li thathamisitsoe webosaeteng ea semmuso). Empa lenaneo e ka kenngoa ka letsoho ho Linux, Windows le MacOS bareki. Ho boetse ho na le .
DNSCrypt e sebetsa joang? Ka bokhutšoanyane, moreki o nka senotlolo sa sechaba sa mofani ea khethiloeng ebe o se sebelisa ho netefatsa litifikeiti tsa sona. Linotlolo tsa nako e khuts'oane tsa nako e khuts'oane tsa seboka le sekhetho sa cipher suite li se li le teng. Bareki ba khothalletsoa ho hlahisa senotlolo se secha bakeng sa kopo e 'ngoe le e' ngoe, 'me li-server li khothalletsoa ho fetola linotlolo lihora tse ling le tse ling tse 24. Ha ho fapanyetsanoa linotlolo, ho sebelisoa algorithm ea X25519, bakeng sa ho saena - EdDSA, bakeng sa ho thibela encryption - XSalsa20-Poly1305 kapa XChaCha20-Poly1305.
E mong oa baetsi ba protocol Frank Denis hore phetoho ea othomathike lihora tse ling le tse ling tse 24 e rarolle bothata ba litifikeiti tse felileng. Ha e le hantle, moreki oa referense ea dnscrypt-proxy o amohela litifikeiti tse nang le nako efe kapa efe, empa o fana ka temoso "Nako ea senotlolo sa dnscrypt-proxy bakeng sa seva sena e telele haholo" haeba e sebetsa ho feta lihora tse 24. Ka nako e ts'oanang, setšoantšo sa Docker se ile sa lokolloa, moo ho ileng ha etsoa phetoho e potlakileng ea linotlolo (le litifikeiti).
Taba ea pele, e bohlokoa haholo bakeng sa ts'ireletso: haeba seva e senyehile kapa senotlolo se lutletse, sephethephethe sa maobane se ke ke sa hlakoloa. Senotlolo se se se fetohile. Sena se kanna sa baka bothata bakeng sa ts'ebetsong ea Molao oa Yarovaya, o qobellang bafani ho boloka sephethephethe sohle, ho kenyelletsa le sephethephethe se patiloeng. Se boleloang ke hore hamorao se ka hlakoloa ha ho hlokahala ka ho kopa senotlolo setšeng. Empa tabeng ena, sebaka sena ha se khone ho fana ka sona, hobane se sebelisa linotlolo tsa nako e khutšoanyane, ho tlosa tsa khale.
Empa ho bohlokoa le ho feta, Denis oa ngola, linotlolo tsa nako e khuts'oane li qobella li-server ho theha othomathike ho tloha ka letsatsi la pele. Haeba seva se hokela marang-rang 'me litokomane tsa phetoho ea senotlolo li sa lokisoe kapa li sa sebetse, sena se tla fumanoa hang-hang.
Ha automation e fetola linotlolo lilemo tse ling le tse ling tse 'maloa, e ke ke ea tšeptjoa,' me batho ba ka lebala ka ho felloa ke nako ha setifikeiti. Haeba u fetola linotlolo letsatsi le letsatsi, sena se tla bonoa hang-hang.
Ka nako e ts'oanang, haeba automation e hlophisitsoe ka mokhoa o tloaelehileng, joale ha ho tsotellehe hore na linotlolo li fetoloa hangata hakae: selemo le selemo, kotara e 'ngoe le e' ngoe kapa ka makhetlo a mararo ka letsatsi. Haeba ntho e 'ngoe le e' ngoe e sebetsa lihora tse fetang 24, e tla sebetsa ka ho sa feleng, ho ngola Frank Denis. Ho ea ka eena, tlhahiso ea ho potoloha ha senotlolo letsatsi le leng le le leng phetolelong ea bobeli ea protocol, hammoho le setšoantšo se entsoeng ka Docker se se sebelisang, se fokolitse ka katleho palo ea li-server tse nang le litifikeiti tse felileng, ha ka nako e le 'ngoe e ntlafatsa ts'ireletso.
Leha ho le joalo, bafani ba bang ba ntse ba nkile qeto, ka mabaka a mang a tekheniki, ho beha nako ea bonnete ba setifikeiti ho feta lihora tse 24. Bothata bona bo ile ba rarolloa haholo ka mela e 'maloa ea khoutu ho dnscrypt-proxy: basebelisi ba fumana temoso ea tlhahisoleseding matsatsi a 30 pele setifikeiti se fela, molaetsa o mong o nang le boemo bo phahameng ba matsatsi a 7 pele ho fela, le molaetsa oa bohlokoa haeba setifikeiti se na le leha e le efe e setseng. ka tlase ho lihora tse 24. Sena se sebetsa feela ho litifikeiti tseo qalong li nang le nako e telele ea ho sebetsa.
Melaetsa ena e fa basebelisi monyetla oa ho tsebisa basebelisi ba DNS ka ho felloa ke nako ha setifikeiti pele e e-ba morao haholo.
Mohlomong haeba basebelisi bohle ba Firefox ba ne ba ka fumana molaetsa o joalo, motho e mong o ne a ka tsebisa bahlahisi 'me ba ke ke ba lumella setifikeiti hore se felloe ke nako. Frank Denis oa ngola o re: "Ha ke hopole seva se le seng sa DNSCrypt lethathamong la li-server tsa sechaba tsa DNS tse ileng tsa felloa ke nako setifikeiti sa tsona lilemong tse peli kapa tse tharo tse fetileng. Leha ho le joalo, mohlomong ho molemo ho hlokomelisa basebelisi pele ho e-na le ho tima li-extensions ntle le temoso.
Source: www.habr.com