Baheula, sertipikat sering kadaluwarsa sabab kedah di-renew sacara manual. Jalma saukur poho ngalakukeun eta. Kalayan munculna Hayu Encrypt sareng prosedur update otomatis, sigana masalahna kedah direngsekeun. Tapi panganyarna nunjukkeun yén éta, kanyataanna, masih relevan. Hanjakal, sertipikat terus kadaluwarsa.
Upami anjeun sono kana caritana, dina tengah wengi tanggal 4 Mei 2019, ampir sadaya ekstensi Firefox ngadadak lirén damel.
Salaku tétéla, kagagalan masif lumangsung alatan kanyataan yén Mozilla , nu dipaké pikeun asup ekstensi. Ku alatan éta, aranjeunna ditandaan salaku "teu valid" sareng henteu diverifikasi (). Dina panglawungan, salaku workaround, disarankeun pikeun nganonaktipkeun verifikasi signature extension di ngeunaan: config atawa ngarobah jam sistem.
Mozilla gancang ngarilis Firefox 66.0.4 patch, nu solves masalah kalawan sertipikat teu valid, sarta sakabeh ekstensi balik ka normal. Pamekar nyarankeun masang éta sareng euweuh workarounds pikeun bypass verifikasi signature sabab bisa konflik jeung patch dina.
Nanging, carita ieu sakali deui nunjukkeun yén béakna sertipikat tetep janten masalah anu mendesak ayeuna.
Dina hal ieu, éta metot kasampak dina cara rada aslina kumaha pamekar protokol diurus tugas ieu . Solusi maranéhanana bisa dibagi jadi dua bagian. Anu mimiti, ieu mangrupikeun sertipikat jangka pondok. Kadua, ngingetkeun pangguna ngeunaan béakna jangka panjang.
DNSCrypt
DNSCrypt mangrupikeun protokol enkripsi lalu lintas DNS. Éta ngajagi komunikasi DNS tina interceptions sareng MiTM, sareng ogé ngamungkinkeun anjeun ngaliwat blokir dina tingkat query DNS.
Protokol ngabungkus lalu lintas DNS antara klien sareng server dina konstruksi kriptografis, beroperasi dina protokol angkutan UDP sareng TCP. Pikeun ngagunakeun éta, klien sareng panyusun DNS kedah ngadukung DNSCrypt. Salaku conto, saprak Maret 2016, éta parantos diaktipkeun dina server DNS na sareng dina browser Yandex. Sababaraha panyadia sanésna ogé ngumumkeun dukungan, kalebet Google sareng Cloudflare. Hanjakalna, teu seueur di antarana (152 server DNS umum didaptarkeun dina halaman wéb resmi). Tapi programna tiasa dipasang sacara manual dina klien Linux, Windows sareng MacOS. Aya ogé .
Kumaha DNSCrypt jalan? Pondokna, klien nyokot konci umum tina panyadia dipilih tur ngagunakeun eta pikeun pariksa sertipikat na. Konci umum jangka pondok pikeun sési sareng idéntifikasi suite cipher parantos aya. Klién didorong pikeun ngahasilkeun konci anyar pikeun tiap pamundut, sareng server didorong pikeun ngarobih konci unggal 24 jam. Nalika tukeur konci, algoritma X25519 dianggo, pikeun nandatanganan - EdDSA, pikeun enkripsi blok - XSalsa20-Poly1305 atanapi XChaCha20-Poly1305.
Salah sahiji pamekar protokol Frank Denis yén ngagantian otomatis unggal 24 jam direngsekeun masalah sertipikat kadaluwarsa. Sacara prinsip, klien rujukan dnscrypt-proxy nampi sertipikat sareng jaman validitas naon waé, tapi ngaluarkeun peringatan "Periode konci dnscrypt-proxy pikeun server ieu panjang teuing" upami valid langkung ti 24 jam. Dina waktos anu sami, gambar Docker dileupaskeun, dimana parobihan gancang konci (sareng sertipikat) dilaksanakeun.
Kahiji, éta pisan mangpaat pikeun kaamanan: lamun server kompromi atawa konci bocor, lajeng lalulintas kamari teu bisa decrypted. konci na geus robah. Ieu sigana bakal janten masalah pikeun palaksanaan Hukum Yarovaya, anu maksa panyadia pikeun nyimpen sadaya lalu lintas, kalebet lalu lintas énkripsi. Implikasina nyaéta yén éta engké tiasa didékripsi upami diperyogikeun ku nyuhunkeun konci tina situs éta. Tapi dina hal ieu, situs saukur teu bisa nyadiakeun eta, sabab ngagunakeun konci jangka pondok, mupus heubeul.
Tapi anu paling penting, Denis nyerat, konci jangka pondok maksakeun server pikeun nyetél otomatis ti mimiti dinten. Upami server nyambung ka jaringan sareng skrip parobihan konci henteu dikonpigurasi atanapi henteu jalan, ieu bakal langsung dideteksi.
Nalika otomatis ngarobih konci unggal sababaraha taun, éta henteu tiasa diandelkeun, sareng jalma-jalma tiasa hilap ngeunaan béakna sertipikat. Upami anjeun ngarobih konci unggal dinten, ieu bakal langsung dideteksi.
Dina waktos anu sami, upami automation dikonpigurasi sacara normal, maka henteu masalah sabaraha sering koncina dirobih: unggal taun, unggal saparapat atanapi tilu kali sadinten. Upami sadayana dianggo langkung ti 24 jam, éta bakal tiasa dianggo salamina, nyerat Frank Denis. Nurutkeun manéhna, rekomendasi rotasi konci poean dina versi kadua protokol, babarengan jeung gambar Docker siap-dijieun nu implements eta, éféktif ngurangan jumlah server kalawan sertipikat kadaluwarsa, bari ngaronjatkeun kaamanan sakaligus.
Tapi, sababaraha panyadia masih mutuskeun, kusabab sababaraha alesan téknis, pikeun nyetél periode validitas sertipikat ka langkung ti 24 jam. Masalah ieu umumna direngsekeun ku sababaraha garis kode dina dnscrypt-proxy: pangguna nampi peringatan inpormasi 30 dinten sateuacan sertipikat kadaluwarsa, pesen sanés kalayan tingkat parah anu langkung luhur 7 dinten sateuacan kadaluwarsa, sareng pesen kritis upami sertipikatna ngagaduhan sésana. validitas kirang ti 24 jam. Ieu ngan manglaku ka sertipikat anu mimitina gaduh periode validitas anu panjang.
Pesen ieu masihan pangguna kasempetan pikeun ngabéjaan operator DNS ngeunaan béakna sertipikat anu bakal datang sateuacan telat.
Panginten upami sadaya pangguna Firefox nampi pesen sapertos kitu, maka aya anu bakal ngawartosan pamekar sareng aranjeunna moal ngijinkeun sertipikatna. "Kuring henteu émut hiji server DNSCrypt tunggal dina daptar server DNS umum anu parantos sertipikatna kadaluwarsa dina dua atanapi tilu taun ka pengker," nyerat Frank Denis. Dina naon waé, sigana langkung saé pikeun ngingetkeun pangguna heula tibatan nganonaktipkeun ekstensi tanpa peringatan.
sumber: www.habr.com