கடந்த காலங்களில், சான்றிதழ்கள் காலாவதியாகும், ஏனெனில் அவை கைமுறையாக புதுப்பிக்கப்பட வேண்டும். மக்கள் அதை செய்ய மறந்துவிட்டார்கள். லெட்ஸ் என்க்ரிப்ட் மற்றும் தானியங்கி புதுப்பிப்பு செயல்முறையின் வருகையுடன், சிக்கல் தீர்க்கப்பட வேண்டும் என்று தோன்றுகிறது. ஆனால் சமீபத்தில் அது உண்மையில் இன்னும் பொருத்தமானது என்பதைக் காட்டுகிறது. துரதிர்ஷ்டவசமாக, சான்றிதழ்கள் தொடர்ந்து காலாவதியாகின்றன.
நீங்கள் கதையைத் தவறவிட்டால், மே 4, 2019 நள்ளிரவில், கிட்டத்தட்ட எல்லா பயர்பாக்ஸ் நீட்டிப்புகளும் திடீரென வேலை செய்வதை நிறுத்திவிடும்.
அது மாறியது போல், மொஸில்லா காரணமாக பெரும் தோல்வி ஏற்பட்டது , இது நீட்டிப்புகளில் கையெழுத்திட பயன்படுத்தப்பட்டது. எனவே, அவை "தவறானவை" எனக் குறிக்கப்பட்டன மற்றும் சரிபார்க்கப்படவில்லை () மன்றங்களில், ஒரு தீர்வாக, நீட்டிப்பு கையொப்ப சரிபார்ப்பை முடக்க பரிந்துரைக்கப்பட்டது பற்றி: கட்டமைப்பு அல்லது கணினி கடிகாரத்தை மாற்றுதல்.
Mozilla உடனடியாக Firefox 66.0.4 பேட்சை வெளியிட்டது, இது தவறான சான்றிதழுடன் சிக்கலைத் தீர்க்கிறது, மேலும் அனைத்து நீட்டிப்புகளும் இயல்பு நிலைக்குத் திரும்பும். டெவலப்பர்கள் அதை நிறுவ பரிந்துரைக்கின்றனர் கையொப்ப சரிபார்ப்பை புறக்கணிக்க எந்த தீர்வும் இல்லை, ஏனெனில் அவை பேட்சுடன் முரண்படலாம்.
இருப்பினும், சான்றிதழ் காலாவதியானது இன்று ஒரு அழுத்தமான பிரச்சினையாக உள்ளது என்பதை இந்த கதை மீண்டும் காட்டுகிறது.
இது சம்பந்தமாக, நெறிமுறை டெவலப்பர்கள் இந்த பணியை எவ்வாறு கையாண்டார்கள் என்பதை ஒரு அசல் வழியைப் பார்ப்பது சுவாரஸ்யமானது . அவர்களின் தீர்வு இரண்டு பகுதிகளாக பிரிக்கலாம். முதலாவதாக, இவை குறுகிய கால சான்றிதழ்கள். இரண்டாவதாக, நீண்ட கால காலாவதி பற்றி பயனர்களுக்கு எச்சரிக்கை.
DNSCrypt
DNSCrypt என்பது DNS ட்ராஃபிக் குறியாக்க நெறிமுறை. இது டிஎன்எஸ் தகவல்தொடர்புகளை குறுக்கீடுகள் மற்றும் MiTM இலிருந்து பாதுகாக்கிறது, மேலும் DNS வினவல் மட்டத்தில் தடுப்பதைத் தவிர்க்கவும் உங்களை அனுமதிக்கிறது.
UDP மற்றும் TCP போக்குவரத்து நெறிமுறைகளில் செயல்படும் க்ரிப்டோகிராஃபிக் கட்டமைப்பில் கிளையன்ட் மற்றும் சர்வர் இடையே டிஎன்எஸ் போக்குவரத்தை நெறிமுறை மூடுகிறது. இதைப் பயன்படுத்த, கிளையன்ட் மற்றும் DNS ரிசல்வர் இரண்டும் DNSCrypt ஐ ஆதரிக்க வேண்டும். எடுத்துக்காட்டாக, மார்ச் 2016 முதல், இது அதன் DNS சேவையகங்களிலும் Yandex உலாவியிலும் இயக்கப்பட்டது. Google மற்றும் Cloudflare உட்பட பல வழங்குநர்களும் ஆதரவை அறிவித்துள்ளனர். துரதிர்ஷ்டவசமாக, அவற்றில் பல இல்லை (152 பொது DNS சேவையகங்கள் அதிகாரப்பூர்வ இணையதளத்தில் பட்டியலிடப்பட்டுள்ளன). ஆனால் நிரல் Linux, Windows மற்றும் MacOS கிளையண்டுகளில் கைமுறையாக நிறுவ முடியும். மேலும் உள்ளன .
DNSCrypt எப்படி வேலை செய்கிறது? சுருக்கமாக, கிளையன்ட் தேர்ந்தெடுக்கப்பட்ட வழங்குநரின் பொது விசையை எடுத்து அதன் சான்றிதழ்களை சரிபார்க்க அதைப் பயன்படுத்துகிறார். அமர்வுக்கான குறுகிய கால பொது விசைகள் மற்றும் சைபர் தொகுப்பு அடையாளங்காட்டி ஏற்கனவே உள்ளன. ஒவ்வொரு கோரிக்கைக்கும் புதிய விசையை உருவாக்க வாடிக்கையாளர்கள் ஊக்குவிக்கப்படுகிறார்கள், மேலும் விசைகளை மாற்ற சேவையகங்கள் ஊக்குவிக்கப்படுகின்றன ஒவ்வொரு 24 மணிநேரமும். விசைகளை பரிமாறிக்கொள்ளும் போது, X25519 அல்காரிதம் கையொப்பமிட பயன்படுத்தப்படுகிறது - EdDSA, தொகுதி குறியாக்கத்திற்கு - XSalsa20-Poly1305 அல்லது XChaCha20-Poly1305.
நெறிமுறை டெவலப்பர்களில் ஒருவர் ஃபிராங்க் டெனிஸ் ஒவ்வொரு 24 மணி நேரமும் தானியங்கி மாற்றீடு காலாவதியான சான்றிதழ்களின் சிக்கலை தீர்க்கிறது. கொள்கையளவில், dnscrypt-proxy குறிப்பு கிளையன்ட் எந்தவொரு செல்லுபடியாகும் காலத்துடன் சான்றிதழ்களை ஏற்றுக்கொள்கிறது, ஆனால் 24 மணிநேரத்திற்கு மேல் செல்லுபடியாகும் பட்சத்தில் "இந்த சேவையகத்திற்கான dnscrypt-proxy விசை காலம் மிகவும் நீளமானது" என்ற எச்சரிக்கையை வெளியிடுகிறது. அதே நேரத்தில், ஒரு டோக்கர் படம் வெளியிடப்பட்டது, அதில் விசைகளின் (மற்றும் சான்றிதழ்கள்) விரைவான மாற்றம் செயல்படுத்தப்பட்டது.
முதலாவதாக, இது பாதுகாப்பிற்கு மிகவும் பயனுள்ளதாக இருக்கும்: சேவையகம் சமரசம் செய்யப்பட்டால் அல்லது விசை கசிந்தால், நேற்றைய போக்குவரத்தை மறைகுறியாக்க முடியாது. விசை ஏற்கனவே மாறிவிட்டது. இது யாரோவயா சட்டத்தை செயல்படுத்துவதில் சிக்கலை ஏற்படுத்தும், இது வழங்குநர்களை மறைகுறியாக்கப்பட்ட போக்குவரத்து உட்பட அனைத்து போக்குவரத்தையும் சேமிக்க கட்டாயப்படுத்துகிறது. இதன் உட்குறிப்பு என்னவென்றால், தளத்திலிருந்து விசையைக் கோருவதன் மூலம் பின்னர் அது டிக்ரிப்ட் செய்யப்படலாம். ஆனால் இந்த விஷயத்தில், தளம் அதை வழங்க முடியாது, ஏனெனில் இது குறுகிய கால விசைகளைப் பயன்படுத்துகிறது, பழையவற்றை நீக்குகிறது.
ஆனால் மிக முக்கியமாக, டெனிஸ் எழுதுகிறார், குறுகிய கால விசைகள் முதல் நாளிலிருந்து ஆட்டோமேஷனை அமைக்க சர்வர்களை கட்டாயப்படுத்துகின்றன. சர்வர் நெட்வொர்க்குடன் இணைக்கப்பட்டு, முக்கிய மாற்ற ஸ்கிரிப்டுகள் உள்ளமைக்கப்படவில்லை அல்லது வேலை செய்யவில்லை என்றால், இது உடனடியாக கண்டறியப்படும்.
ஒவ்வொரு சில வருடங்களுக்கும் ஆட்டோமேஷன் விசைகளை மாற்றும் போது, அதை நம்ப முடியாது, மேலும் சான்றிதழ் காலாவதியை மக்கள் மறந்துவிடலாம். நீங்கள் தினமும் விசைகளை மாற்றினால், இது உடனடியாக கண்டறியப்படும்.
அதே நேரத்தில், ஆட்டோமேஷன் பொதுவாக கட்டமைக்கப்பட்டிருந்தால், விசைகள் எவ்வளவு அடிக்கடி மாற்றப்படுகின்றன என்பது முக்கியமல்ல: ஒவ்வொரு ஆண்டும், ஒவ்வொரு காலாண்டிலும் அல்லது ஒரு நாளைக்கு மூன்று முறை. எல்லாம் 24 மணி நேரத்திற்கும் மேலாக வேலை செய்தால், அது எப்போதும் வேலை செய்யும் என்று ஃபிராங்க் டெனிஸ் எழுதுகிறார். அவரைப் பொறுத்தவரை, நெறிமுறையின் இரண்டாவது பதிப்பில் தினசரி விசை சுழற்சிக்கான பரிந்துரை, அதைச் செயல்படுத்தும் ஆயத்த டோக்கர் படத்துடன் சேர்ந்து, காலாவதியான சான்றிதழ்களைக் கொண்ட சேவையகங்களின் எண்ணிக்கையை திறம்பட குறைத்தது, அதே நேரத்தில் பாதுகாப்பை மேம்படுத்துகிறது.
இருப்பினும், சில வழங்குநர்கள், சில தொழில்நுட்ப காரணங்களுக்காக, சான்றிதழ் செல்லுபடியாகும் காலத்தை 24 மணிநேரத்திற்கும் மேலாக அமைக்க முடிவு செய்தனர். இந்தச் சிக்கல் dnscrypt-proxy இல் உள்ள சில வரிகளைக் கொண்டு தீர்க்கப்பட்டது: சான்றிதழ் காலாவதியாகும் 30 நாட்களுக்கு முன்பு பயனர்கள் ஒரு தகவல் எச்சரிக்கையைப் பெறுவார்கள், காலாவதியாகும் 7 நாட்களுக்கு முன்பு அதிக தீவிரத்தன்மை கொண்ட மற்றொரு செய்தி மற்றும் சான்றிதழில் ஏதேனும் மீதம் இருந்தால் முக்கியமான செய்தி. செல்லுபடியாகும். 24 மணி நேரத்திற்கும் குறைவாக. ஆரம்பத்தில் நீண்ட செல்லுபடியாகும் காலத்தைக் கொண்ட சான்றிதழ்களுக்கு மட்டுமே இது பொருந்தும்.
இந்தச் செய்திகள், தாமதமாகும் முன், வரவிருக்கும் சான்றிதழ் காலாவதியை DNS ஆபரேட்டர்களுக்குத் தெரிவிக்க பயனர்களுக்கு வாய்ப்பளிக்கிறது.
ஒருவேளை அனைத்து பயர்பாக்ஸ் பயனர்களும் அத்தகைய செய்தியைப் பெற்றிருந்தால், யாராவது டெவலப்பர்களுக்குத் தெரிவிப்பார்கள், மேலும் அவர்கள் சான்றிதழை காலாவதி செய்ய அனுமதிக்க மாட்டார்கள். "கடந்த இரண்டு அல்லது மூன்று ஆண்டுகளில் சான்றிதழ் காலாவதியான பொது DNS சேவையகங்களின் பட்டியலில் ஒரு DNSCrypt சேவையகமும் எனக்கு நினைவில் இல்லை" என்று Frank Denis எழுதுகிறார். எவ்வாறாயினும், எச்சரிக்கை இல்லாமல் நீட்டிப்புகளை முடக்குவதை விட பயனர்களை முதலில் எச்சரிப்பது நல்லது.
ஆதாரம்: www.habr.com