கடந்த காலங்களில், சான்றிதழ்கள் காலாவதியாகும், ஏனெனில் அவை கைமுறையாக புதுப்பிக்கப்பட வேண்டும். மக்கள் அதை செய்ய மறந்துவிட்டார்கள். லெட்ஸ் என்க்ரிப்ட் மற்றும் தானியங்கி புதுப்பிப்பு செயல்முறையின் வருகையுடன், சிக்கல் தீர்க்கப்பட வேண்டும் என்று தோன்றுகிறது. ஆனால் சமீபத்தில்
நீங்கள் கதையைத் தவறவிட்டால், மே 4, 2019 நள்ளிரவில், கிட்டத்தட்ட எல்லா பயர்பாக்ஸ் நீட்டிப்புகளும் திடீரென வேலை செய்வதை நிறுத்திவிடும்.
அது மாறியது போல், மொஸில்லா காரணமாக பெரும் தோல்வி ஏற்பட்டது
Mozilla உடனடியாக Firefox 66.0.4 பேட்சை வெளியிட்டது, இது தவறான சான்றிதழுடன் சிக்கலைத் தீர்க்கிறது, மேலும் அனைத்து நீட்டிப்புகளும் இயல்பு நிலைக்குத் திரும்பும். டெவலப்பர்கள் அதை நிறுவ பரிந்துரைக்கின்றனர்
இருப்பினும், சான்றிதழ் காலாவதியானது இன்று ஒரு அழுத்தமான பிரச்சினையாக உள்ளது என்பதை இந்த கதை மீண்டும் காட்டுகிறது.
இது சம்பந்தமாக, நெறிமுறை டெவலப்பர்கள் இந்த பணியை எவ்வாறு கையாண்டார்கள் என்பதை ஒரு அசல் வழியைப் பார்ப்பது சுவாரஸ்யமானது
DNSCrypt
DNSCrypt என்பது DNS ட்ராஃபிக் குறியாக்க நெறிமுறை. இது டிஎன்எஸ் தகவல்தொடர்புகளை குறுக்கீடுகள் மற்றும் MiTM இலிருந்து பாதுகாக்கிறது, மேலும் DNS வினவல் மட்டத்தில் தடுப்பதைத் தவிர்க்கவும் உங்களை அனுமதிக்கிறது.
UDP மற்றும் TCP போக்குவரத்து நெறிமுறைகளில் செயல்படும் க்ரிப்டோகிராஃபிக் கட்டமைப்பில் கிளையன்ட் மற்றும் சர்வர் இடையே டிஎன்எஸ் போக்குவரத்தை நெறிமுறை மூடுகிறது. இதைப் பயன்படுத்த, கிளையன்ட் மற்றும் DNS ரிசல்வர் இரண்டும் DNSCrypt ஐ ஆதரிக்க வேண்டும். எடுத்துக்காட்டாக, மார்ச் 2016 முதல், இது அதன் DNS சேவையகங்களிலும் Yandex உலாவியிலும் இயக்கப்பட்டது. Google மற்றும் Cloudflare உட்பட பல வழங்குநர்களும் ஆதரவை அறிவித்துள்ளனர். துரதிர்ஷ்டவசமாக, அவற்றில் பல இல்லை (152 பொது DNS சேவையகங்கள் அதிகாரப்பூர்வ இணையதளத்தில் பட்டியலிடப்பட்டுள்ளன). ஆனால் நிரல்
DNSCrypt எப்படி வேலை செய்கிறது? சுருக்கமாக, கிளையன்ட் தேர்ந்தெடுக்கப்பட்ட வழங்குநரின் பொது விசையை எடுத்து அதன் சான்றிதழ்களை சரிபார்க்க அதைப் பயன்படுத்துகிறார். அமர்வுக்கான குறுகிய கால பொது விசைகள் மற்றும் சைபர் தொகுப்பு அடையாளங்காட்டி ஏற்கனவே உள்ளன. ஒவ்வொரு கோரிக்கைக்கும் புதிய விசையை உருவாக்க வாடிக்கையாளர்கள் ஊக்குவிக்கப்படுகிறார்கள், மேலும் விசைகளை மாற்ற சேவையகங்கள் ஊக்குவிக்கப்படுகின்றன ஒவ்வொரு 24 மணிநேரமும். விசைகளை பரிமாறிக்கொள்ளும் போது, X25519 அல்காரிதம் கையொப்பமிட பயன்படுத்தப்படுகிறது - EdDSA, தொகுதி குறியாக்கத்திற்கு - XSalsa20-Poly1305 அல்லது XChaCha20-Poly1305.
நெறிமுறை டெவலப்பர்களில் ஒருவர் ஃபிராங்க் டெனிஸ்
முதலாவதாக, இது பாதுகாப்பிற்கு மிகவும் பயனுள்ளதாக இருக்கும்: சேவையகம் சமரசம் செய்யப்பட்டால் அல்லது விசை கசிந்தால், நேற்றைய போக்குவரத்தை மறைகுறியாக்க முடியாது. விசை ஏற்கனவே மாறிவிட்டது. இது யாரோவயா சட்டத்தை செயல்படுத்துவதில் சிக்கலை ஏற்படுத்தும், இது வழங்குநர்களை மறைகுறியாக்கப்பட்ட போக்குவரத்து உட்பட அனைத்து போக்குவரத்தையும் சேமிக்க கட்டாயப்படுத்துகிறது. இதன் உட்குறிப்பு என்னவென்றால், தளத்திலிருந்து விசையைக் கோருவதன் மூலம் பின்னர் அது டிக்ரிப்ட் செய்யப்படலாம். ஆனால் இந்த விஷயத்தில், தளம் அதை வழங்க முடியாது, ஏனெனில் இது குறுகிய கால விசைகளைப் பயன்படுத்துகிறது, பழையவற்றை நீக்குகிறது.
ஆனால் மிக முக்கியமாக, டெனிஸ் எழுதுகிறார், குறுகிய கால விசைகள் முதல் நாளிலிருந்து ஆட்டோமேஷனை அமைக்க சர்வர்களை கட்டாயப்படுத்துகின்றன. சர்வர் நெட்வொர்க்குடன் இணைக்கப்பட்டு, முக்கிய மாற்ற ஸ்கிரிப்டுகள் உள்ளமைக்கப்படவில்லை அல்லது வேலை செய்யவில்லை என்றால், இது உடனடியாக கண்டறியப்படும்.
ஒவ்வொரு சில வருடங்களுக்கும் ஆட்டோமேஷன் விசைகளை மாற்றும் போது, அதை நம்ப முடியாது, மேலும் சான்றிதழ் காலாவதியை மக்கள் மறந்துவிடலாம். நீங்கள் தினமும் விசைகளை மாற்றினால், இது உடனடியாக கண்டறியப்படும்.
அதே நேரத்தில், ஆட்டோமேஷன் பொதுவாக கட்டமைக்கப்பட்டிருந்தால், விசைகள் எவ்வளவு அடிக்கடி மாற்றப்படுகின்றன என்பது முக்கியமல்ல: ஒவ்வொரு ஆண்டும், ஒவ்வொரு காலாண்டிலும் அல்லது ஒரு நாளைக்கு மூன்று முறை. எல்லாம் 24 மணி நேரத்திற்கும் மேலாக வேலை செய்தால், அது எப்போதும் வேலை செய்யும் என்று ஃபிராங்க் டெனிஸ் எழுதுகிறார். அவரைப் பொறுத்தவரை, நெறிமுறையின் இரண்டாவது பதிப்பில் தினசரி விசை சுழற்சிக்கான பரிந்துரை, அதைச் செயல்படுத்தும் ஆயத்த டோக்கர் படத்துடன் சேர்ந்து, காலாவதியான சான்றிதழ்களைக் கொண்ட சேவையகங்களின் எண்ணிக்கையை திறம்பட குறைத்தது, அதே நேரத்தில் பாதுகாப்பை மேம்படுத்துகிறது.
இருப்பினும், சில வழங்குநர்கள், சில தொழில்நுட்ப காரணங்களுக்காக, சான்றிதழ் செல்லுபடியாகும் காலத்தை 24 மணிநேரத்திற்கும் மேலாக அமைக்க முடிவு செய்தனர். இந்தச் சிக்கல் dnscrypt-proxy இல் உள்ள சில வரிகளைக் கொண்டு தீர்க்கப்பட்டது: சான்றிதழ் காலாவதியாகும் 30 நாட்களுக்கு முன்பு பயனர்கள் ஒரு தகவல் எச்சரிக்கையைப் பெறுவார்கள், காலாவதியாகும் 7 நாட்களுக்கு முன்பு அதிக தீவிரத்தன்மை கொண்ட மற்றொரு செய்தி மற்றும் சான்றிதழில் ஏதேனும் மீதம் இருந்தால் முக்கியமான செய்தி. செல்லுபடியாகும். 24 மணி நேரத்திற்கும் குறைவாக. ஆரம்பத்தில் நீண்ட செல்லுபடியாகும் காலத்தைக் கொண்ட சான்றிதழ்களுக்கு மட்டுமே இது பொருந்தும்.
இந்தச் செய்திகள், தாமதமாகும் முன், வரவிருக்கும் சான்றிதழ் காலாவதியை DNS ஆபரேட்டர்களுக்குத் தெரிவிக்க பயனர்களுக்கு வாய்ப்பளிக்கிறது.
ஒருவேளை அனைத்து பயர்பாக்ஸ் பயனர்களும் அத்தகைய செய்தியைப் பெற்றிருந்தால், யாராவது டெவலப்பர்களுக்குத் தெரிவிப்பார்கள், மேலும் அவர்கள் சான்றிதழை காலாவதி செய்ய அனுமதிக்க மாட்டார்கள். "கடந்த இரண்டு அல்லது மூன்று ஆண்டுகளில் சான்றிதழ் காலாவதியான பொது DNS சேவையகங்களின் பட்டியலில் ஒரு DNSCrypt சேவையகமும் எனக்கு நினைவில் இல்லை" என்று Frank Denis எழுதுகிறார். எவ்வாறாயினும், எச்சரிக்கை இல்லாமல் நீட்டிப்புகளை முடக்குவதை விட பயனர்களை முதலில் எச்சரிப்பது நல்லது.
ஆதாரம்: www.habr.com