గతంలో, సర్టిఫికెట్లు మాన్యువల్గా రెన్యువల్ చేసుకోవాల్సిన కారణంగా తరచుగా గడువు ముగిసేవి. ప్రజలు దీన్ని చేయడం మర్చిపోయారు. లెట్స్ ఎన్క్రిప్ట్ మరియు ఆటోమేటిక్ అప్డేట్ విధానం రావడంతో, సమస్య పరిష్కరించబడాలని అనిపిస్తుంది. కానీ ఇటీవల ఇది వాస్తవానికి ఇప్పటికీ సంబంధితంగా ఉందని చూపిస్తుంది. దురదృష్టవశాత్తూ, సర్టిఫికెట్ల గడువు ముగుస్తూనే ఉంది.
ఒకవేళ మీరు కథనాన్ని మిస్ అయినట్లయితే, మే 4, 2019 అర్ధరాత్రి, దాదాపు అన్ని Firefox పొడిగింపులు అకస్మాత్తుగా పని చేయడం ఆగిపోయాయి.
ఇది ముగిసినప్పుడు, మొజిల్లా కారణంగా భారీ వైఫల్యం సంభవించింది , ఇది పొడిగింపులపై సంతకం చేయడానికి ఉపయోగించబడింది. అందువల్ల, అవి "చెల్లనివి"గా గుర్తించబడ్డాయి మరియు ధృవీకరించబడలేదు () ఫోరమ్లలో, ఒక ప్రత్యామ్నాయంగా, పొడిగింపు సంతకం ధృవీకరణను నిలిపివేయమని సిఫార్సు చేయబడింది about: config లేదా సిస్టమ్ గడియారాన్ని మార్చడం.
Mozilla త్వరగా Firefox 66.0.4 ప్యాచ్ను విడుదల చేసింది, ఇది చెల్లని సర్టిఫికేట్తో సమస్యను పరిష్కరిస్తుంది మరియు అన్ని పొడిగింపులు సాధారణ స్థితికి వస్తాయి. డెవలపర్లు దీన్ని ఇన్స్టాల్ చేయమని సిఫార్సు చేస్తున్నారు మరియు సంతకం ధృవీకరణను దాటవేయడానికి ఎటువంటి పరిష్కారాలు లేవు ఎందుకంటే అవి ప్యాచ్తో విభేదించవచ్చు.
ఏదేమైనా, ఈ కథనం మరోసారి సర్టిఫికేట్ గడువు నేటికీ ఒక ముఖ్యమైన సమస్యగా ఉందని చూపిస్తుంది.
ఈ విషయంలో, ప్రోటోకాల్ డెవలపర్లు ఈ పనితో ఎలా వ్యవహరించారో అసలైన మార్గాన్ని చూడటం ఆసక్తికరంగా ఉంటుంది . వారి పరిష్కారం రెండు భాగాలుగా విభజించవచ్చు. మొదట, ఇవి స్వల్పకాలిక సర్టిఫికేట్లు. రెండవది, దీర్ఘకాలిక వాటి గడువు ముగియడం గురించి వినియోగదారులను హెచ్చరిస్తుంది.
DNSCrypt
DNSCrypt అనేది DNS ట్రాఫిక్ ఎన్క్రిప్షన్ ప్రోటోకాల్. ఇది DNS కమ్యూనికేషన్లను అంతరాయాలు మరియు MiTM నుండి రక్షిస్తుంది మరియు DNS ప్రశ్న స్థాయిలో నిరోధించడాన్ని దాటవేయడానికి మిమ్మల్ని అనుమతిస్తుంది.
ప్రోటోకాల్ క్రిప్టోగ్రాఫిక్ నిర్మాణంలో క్లయింట్ మరియు సర్వర్ మధ్య DNS ట్రాఫిక్ను వ్రాప్ చేస్తుంది, UDP మరియు TCP రవాణా ప్రోటోకాల్లపై పనిచేస్తుంది. దీన్ని ఉపయోగించడానికి, క్లయింట్ మరియు DNS పరిష్కర్త రెండూ తప్పనిసరిగా DNSCryptకి మద్దతు ఇవ్వాలి. ఉదాహరణకు, మార్చి 2016 నుండి, ఇది దాని DNS సర్వర్లలో మరియు Yandex బ్రౌజర్లో ప్రారంభించబడింది. Google మరియు Cloudflareతో సహా అనేక ఇతర ప్రొవైడర్లు కూడా మద్దతును ప్రకటించారు. దురదృష్టవశాత్తూ, వాటిలో చాలా వరకు లేవు (152 పబ్లిక్ DNS సర్వర్లు అధికారిక వెబ్సైట్లో జాబితా చేయబడ్డాయి). కానీ కార్యక్రమం Linux, Windows మరియు MacOS క్లయింట్లలో మాన్యువల్గా ఇన్స్టాల్ చేయవచ్చు. కూడా ఉన్నాయి .
DNSCrypt ఎలా పని చేస్తుంది? సంక్షిప్తంగా, క్లయింట్ ఎంచుకున్న ప్రొవైడర్ యొక్క పబ్లిక్ కీని తీసుకుంటుంది మరియు దాని సర్టిఫికేట్లను ధృవీకరించడానికి దాన్ని ఉపయోగిస్తుంది. సెషన్ కోసం స్వల్పకాలిక పబ్లిక్ కీలు మరియు సైఫర్ సూట్ ఐడెంటిఫైయర్ ఇప్పటికే ఉన్నాయి. క్లయింట్లు ప్రతి అభ్యర్థన కోసం కొత్త కీని రూపొందించమని ప్రోత్సహిస్తారు మరియు కీలను మార్చడానికి సర్వర్లను ప్రోత్సహిస్తారు ప్రతి 24 గంటలు. కీలను మార్పిడి చేస్తున్నప్పుడు, X25519 అల్గోరిథం ఉపయోగించబడుతుంది, సంతకం చేయడానికి - EdDSA, బ్లాక్ ఎన్క్రిప్షన్ కోసం - XSalsa20-Poly1305 లేదా XChaCha20-Poly1305.
ప్రోటోకాల్ డెవలపర్లలో ఒకరు ఫ్రాంక్ డెనిస్ ప్రతి 24 గంటలకు ఆటోమేటిక్ రీప్లేస్మెంట్ గడువు ముగిసిన సర్టిఫికెట్ల సమస్యను పరిష్కరించింది. సూత్రప్రాయంగా, dnscrypt-proxy రిఫరెన్స్ క్లయింట్ ఏదైనా చెల్లుబాటు వ్యవధితో సర్టిఫికేట్లను అంగీకరిస్తుంది, అయితే ఇది 24 గంటల కంటే ఎక్కువ చెల్లుబాటులో ఉంటే "ఈ సర్వర్ కోసం dnscrypt-proxy కీ కాలం చాలా పొడవుగా ఉంది" అని హెచ్చరికను జారీ చేస్తుంది. అదే సమయంలో, ఒక డాకర్ చిత్రం విడుదల చేయబడింది, దీనిలో కీల యొక్క శీఘ్ర మార్పు (మరియు సర్టిఫికేట్లు) అమలు చేయబడింది.
ముందుగా, ఇది భద్రతకు చాలా ఉపయోగకరంగా ఉంటుంది: సర్వర్ రాజీపడినా లేదా కీ లీక్ అయినట్లయితే, నిన్నటి ట్రాఫిక్ డీక్రిప్ట్ చేయబడదు. కీ ఇప్పటికే మార్చబడింది. ఇది యారోవయా చట్టాన్ని అమలు చేయడంలో సమస్యను కలిగిస్తుంది, ఇది ఎన్క్రిప్టెడ్ ట్రాఫిక్తో సహా మొత్తం ట్రాఫిక్ను నిల్వ చేయడానికి ప్రొవైడర్లను బలవంతం చేస్తుంది. సైట్ నుండి కీని అభ్యర్థించడం ద్వారా అవసరమైతే దానిని తర్వాత డీక్రిప్ట్ చేయవచ్చు. కానీ ఈ సందర్భంలో, సైట్ దానిని అందించదు, ఎందుకంటే ఇది స్వల్పకాలిక కీలను ఉపయోగిస్తుంది, పాత వాటిని తొలగిస్తుంది.
కానీ ముఖ్యంగా, డెనిస్ వ్రాస్తూ, స్వల్పకాలిక కీలు మొదటి రోజు నుండి ఆటోమేషన్ను సెటప్ చేయడానికి సర్వర్లను బలవంతం చేస్తాయి. సర్వర్ నెట్వర్క్కి కనెక్ట్ చేయబడి, కీ మార్పు స్క్రిప్ట్లు కాన్ఫిగర్ చేయబడకపోతే లేదా పని చేయకపోతే, ఇది వెంటనే గుర్తించబడుతుంది.
ప్రతి కొన్ని సంవత్సరాలకు ఆటోమేషన్ కీలను మార్చినప్పుడు, దానిపై ఆధారపడలేరు మరియు సర్టిఫికేట్ గడువు గురించి ప్రజలు మరచిపోగలరు. మీరు ప్రతిరోజూ కీలను మార్చినట్లయితే, ఇది తక్షణమే గుర్తించబడుతుంది.
అదే సమయంలో, ఆటోమేషన్ సాధారణంగా కాన్ఫిగర్ చేయబడితే, కీలు ఎంత తరచుగా మార్చబడతాయో పట్టింపు లేదు: ప్రతి సంవత్సరం, ప్రతి త్రైమాసికంలో లేదా రోజుకు మూడు సార్లు. ప్రతిదీ 24 గంటల కంటే ఎక్కువ పని చేస్తే, అది ఎప్పటికీ పని చేస్తుంది, ఫ్రాంక్ డెనిస్ రాశారు. అతని ప్రకారం, ప్రోటోకాల్ యొక్క రెండవ సంస్కరణలో రోజువారీ కీ రొటేషన్ యొక్క సిఫార్సు, దానిని అమలు చేసే రెడీమేడ్ డాకర్ చిత్రంతో పాటు, గడువు ముగిసిన సర్టిఫికేట్లతో సర్వర్ల సంఖ్యను సమర్థవంతంగా తగ్గించింది, అదే సమయంలో భద్రతను మెరుగుపరుస్తుంది.
అయినప్పటికీ, కొంతమంది ప్రొవైడర్లు ఇప్పటికీ కొన్ని సాంకేతిక కారణాల వల్ల, సర్టిఫికేట్ చెల్లుబాటు వ్యవధిని 24 గంటల కంటే ఎక్కువగా సెట్ చేయాలని నిర్ణయించుకున్నారు. dnscrypt-proxyలోని కొన్ని పంక్తుల కోడ్తో ఈ సమస్య చాలావరకు పరిష్కరించబడింది: సర్టిఫికేట్ గడువు ముగిసే 30 రోజుల ముందు వినియోగదారులు సమాచార హెచ్చరికను అందుకుంటారు, గడువు ముగియడానికి 7 రోజుల ముందు అధిక తీవ్రత స్థాయితో మరొక సందేశం మరియు సర్టిఫికేట్లో ఏదైనా మిగిలి ఉంటే క్లిష్టమైన సందేశాన్ని అందుకుంటారు. చెల్లుబాటు. 24 గంటల కంటే తక్కువ. ఇది ప్రారంభంలో సుదీర్ఘ చెల్లుబాటు వ్యవధిని కలిగి ఉన్న సర్టిఫికేట్లకు మాత్రమే వర్తిస్తుంది.
ఈ సందేశాలు చాలా ఆలస్యం కావడానికి ముందే రాబోయే సర్టిఫికేట్ గడువు గురించి DNS ఆపరేటర్లకు తెలియజేయడానికి వినియోగదారులకు అవకాశాన్ని అందిస్తాయి.
బహుశా ఫైర్ఫాక్స్ వినియోగదారులందరూ అలాంటి సందేశాన్ని స్వీకరించినట్లయితే, ఎవరైనా డెవలపర్లకు తెలియజేయవచ్చు మరియు వారు సర్టిఫికేట్ గడువు ముగియడానికి అనుమతించరు. "గత రెండు లేదా మూడు సంవత్సరాలలో సర్టిఫికేట్ గడువు ముగిసిన పబ్లిక్ DNS సర్వర్ల జాబితాలో ఒక్క DNSCrypt సర్వర్ కూడా నాకు గుర్తు లేదు" అని ఫ్రాంక్ డెనిస్ రాశాడు. ఏదైనా సందర్భంలో, హెచ్చరిక లేకుండా పొడిగింపులను నిలిపివేయడం కంటే ముందుగా వినియోగదారులను హెచ్చరించడం ఉత్తమం.
మూలం: www.habr.com