Hapo awali, vyeti mara nyingi viliisha muda wake kwa sababu vililazimika kusasishwa kwa mikono. Watu walisahau tu kuifanya. Pamoja na ujio wa Let's Encrypt na utaratibu wa kusasisha kiotomatiki, inaonekana kwamba tatizo linapaswa kutatuliwa. Lakini hivi karibuni inaonyesha kwamba, kwa kweli, bado ni muhimu. Kwa bahati mbaya, muda wa vyeti unaendelea kuisha.
Iwapo ulikosa hadithi, saa sita usiku Mei 4, 2019, karibu viendelezi vyote vya Firefox viliacha kufanya kazi ghafla.
Kama ilivyotokea, kushindwa kubwa kulitokea kutokana na ukweli kwamba Mozilla , ambayo ilitumika kutia saini viendelezi. Kwa hivyo, ziliwekwa alama kama "batili" na hazikuthibitishwa () Kwenye mabaraza, kama suluhisho, ilipendekezwa kuzima uthibitishaji wa saini ya kiendelezi kuhusu: config au kubadilisha saa ya mfumo.
Mozilla ilitoa haraka kiraka cha Firefox 66.0.4, ambacho hutatua tatizo na cheti batili, na upanuzi wote unarudi kwa kawaida. Watengenezaji wanapendekeza kuiweka na hakuna njia za kuepusha uthibitishaji wa saini kwa sababu zinaweza kupingana na kiraka.
Walakini, hadithi hii kwa mara nyingine inaonyesha kuwa kumalizika kwa muda wa cheti bado ni suala la dharura leo.
Katika suala hili, inafurahisha kuangalia njia ya asili jinsi watengenezaji wa itifaki walishughulikia kazi hii . Suluhisho lao linaweza kugawanywa katika sehemu mbili. Kwanza, hizi ni vyeti vya muda mfupi. Pili, kuonya watumiaji kuhusu kumalizika kwa muda wa muda mrefu.
DNSCrypt
DNSCrypt ni itifaki ya usimbaji fiche wa trafiki ya DNS. Inalinda mawasiliano ya DNS dhidi ya uingiliaji na MiTM, na pia hukuruhusu kukwepa kuzuia katika kiwango cha hoja cha DNS.
Itifaki hufunika trafiki ya DNS kati ya mteja na seva katika muundo wa kriptografia, unaofanya kazi kupitia itifaki za usafiri za UDP na TCP. Ili kuitumia, mteja na kisuluhishi cha DNS lazima kitumie DNSCrypt. Kwa mfano, tangu Machi 2016, imewezeshwa kwenye seva zake za DNS na katika kivinjari cha Yandex. Watoa huduma wengine kadhaa pia wametangaza msaada, ikiwa ni pamoja na Google na Cloudflare. Kwa bahati mbaya, hakuna wengi wao (seva 152 za ββumma za DNS zimeorodheshwa kwenye tovuti rasmi). Lakini mpango inaweza kusakinishwa kwa mikono kwenye Linux, Windows na MacOS wateja. Kuna pia .
Je, DNSCrypt inafanya kazi vipi? Kwa kifupi, mteja huchukua ufunguo wa umma wa mtoa huduma aliyechaguliwa na kuutumia kuthibitisha vyeti vyake. Funguo za muda mfupi za umma za kipindi na kitambulisho cha suti ya msimbo tayari zipo. Wateja wanahimizwa kutoa ufunguo mpya kwa kila ombi, na seva zinahimizwa kubadilisha funguo kila masaa 24. Wakati wa kubadilishana funguo, algorithm ya X25519 hutumiwa, kwa kusaini - EdDSA, kwa usimbuaji wa kuzuia - XSalsa20-Poly1305 au XChaCha20-Poly1305.
Mmoja wa watengenezaji wa itifaki Frank Denis kwamba uingizwaji otomatiki kila baada ya masaa 24 ulitatua tatizo la vyeti vilivyoisha muda wake. Kimsingi, mteja wa rejeleo la dnscrypt-proxy hukubali vyeti vilivyo na muda wowote wa uhalali, lakini hutoa onyo "Kipindi cha ufunguo wa dnscrypt-proxy kwa seva hii ni kirefu sana" ikiwa ni halali kwa zaidi ya saa 24. Wakati huo huo, picha ya Docker ilitolewa, ambayo mabadiliko ya haraka ya funguo (na vyeti) yalitekelezwa.
Kwanza, ni muhimu sana kwa usalama: ikiwa seva imeathiriwa au ufunguo umevuja, basi trafiki ya jana haiwezi kusimbwa. Ufunguo tayari umebadilika. Hii inaweza kusababisha tatizo kwa utekelezaji wa Sheria ya Yarovaya, ambayo inawalazimisha watoa huduma kuhifadhi trafiki zote, ikiwa ni pamoja na trafiki iliyosimbwa. Maana yake ni kwamba inaweza kufutwa baadaye ikiwa ni lazima kwa kuomba ufunguo kutoka kwa tovuti. Lakini katika kesi hii, tovuti haiwezi tu kutoa, kwa sababu hutumia funguo za muda mfupi, kufuta zamani.
Lakini muhimu zaidi, Denis anaandika, funguo za muda mfupi hulazimisha seva kusanidi otomatiki kutoka siku ya kwanza. Ikiwa seva itaunganisha kwenye mtandao na hati za mabadiliko muhimu hazijasanidiwa au hazifanyi kazi, hii itagunduliwa mara moja.
Wakati otomatiki hubadilisha funguo kila baada ya miaka michache, haiwezi kutegemewa, na watu wanaweza kusahau kuhusu kuisha kwa muda wa cheti. Ukibadilisha funguo kila siku, hii itatambuliwa mara moja.
Wakati huo huo, ikiwa automatisering imeundwa kwa kawaida, basi haijalishi mara ngapi funguo zinabadilishwa: kila mwaka, kila robo au mara tatu kwa siku. Ikiwa kila kitu kitafanya kazi kwa zaidi ya masaa 24, itafanya kazi milele, anaandika Frank Denis. Kulingana na yeye, pendekezo la kuzunguka kwa ufunguo wa kila siku katika toleo la pili la itifaki, pamoja na picha ya Docker iliyotengenezwa tayari inayoitekeleza, ilipunguza kwa ufanisi idadi ya seva zilizo na vyeti vilivyoisha, wakati huo huo kuboresha usalama.
Hata hivyo, baadhi ya watoa huduma bado waliamua, kwa sababu fulani za kiufundi, kuweka muda wa uhalali wa cheti kuwa zaidi ya saa 24. Tatizo hili lilitatuliwa kwa njia chache za msimbo katika dnscrypt-proxy: watumiaji hupokea onyo la taarifa siku 30 kabla ya muda wa cheti kuisha, ujumbe mwingine wenye kiwango cha juu cha ukali siku 7 kabla ya kuisha, na ujumbe muhimu ikiwa cheti kinasalia. uhalali chini ya saa 24. Hii inatumika tu kwa vyeti ambavyo awali vina muda mrefu wa uhalali.
Ujumbe huu huwapa watumiaji fursa ya kuwaarifu waendeshaji wa DNS kuhusu kumalizika kwa muda wa cheti kabla haijachelewa.
Labda ikiwa watumiaji wote wa Firefox wangepokea ujumbe kama huo, basi mtu anaweza kuwajulisha watengenezaji na hawataruhusu cheti kuisha. "Sikumbuki seva moja ya DNSCrypt kwenye orodha ya seva za DNS za umma ambazo cheti chake kimeisha muda wa miaka miwili au mitatu iliyopita," anaandika Frank Denis. Kwa hali yoyote, labda ni bora kuwaonya watumiaji kwanza badala ya kuzima viendelezi bila onyo.
Chanzo: mapenzi.com