ماضی میں، سرٹیفکیٹس کی میعاد اکثر ختم ہو جاتی تھی کیونکہ انہیں دستی طور پر تجدید کرنا پڑتا تھا۔ لوگ بس یہ کرنا بھول گئے۔ Let's Encrypt کی آمد اور خودکار اپ ڈیٹ کے طریقہ کار سے ایسا لگتا ہے کہ مسئلہ حل ہونا چاہیے۔ لیکن حالیہ فائر فاکس کی کہانی ظاہر کرتا ہے کہ یہ حقیقت میں اب بھی متعلقہ ہے۔ بدقسمتی سے، سرٹیفکیٹس کی میعاد ختم ہوتی رہتی ہے۔

اگر آپ نے کہانی چھوٹ دی تو، 4 مئی 2019 کی آدھی رات کو، تقریباً تمام فائر فاکس ایکسٹینشنز نے اچانک کام کرنا چھوڑ دیا۔

جیسا کہ یہ نکلا، بڑے پیمانے پر ناکامی اس حقیقت کی وجہ سے ہوئی کہ موزیلا سرٹیفکیٹ ختم ہو گیا ہے، جو ایکسٹینشن پر دستخط کرنے کے لیے استعمال ہوتا تھا۔ لہذا، انہیں "غلط" کے طور پر نشان زد کیا گیا تھا اور ان کی تصدیق نہیں کی گئی تھی (تکنیکی تفصیلات)۔ فورمز پر، ایک کام کے طور پر، اس میں توسیع کے دستخط کی تصدیق کو غیر فعال کرنے کی سفارش کی گئی تھی کے بارے میں: config یا سسٹم کی گھڑی کو تبدیل کرنا۔

موزیلا نے فوری طور پر فائر فاکس 66.0.4 پیچ جاری کیا، جو ایک غلط سرٹیفکیٹ کے ساتھ مسئلہ حل کرتا ہے، اور تمام ایکسٹینشن معمول پر آ جاتے ہیں۔ ڈویلپرز اسے انسٹال کرنے کی تجویز کرتے ہیں اور استعمال مت کرو دستخط کی توثیق کو نظرانداز کرنے کا کوئی حل نہیں ہے کیونکہ وہ پیچ سے متصادم ہوسکتے ہیں۔

تاہم، یہ کہانی ایک بار پھر ظاہر کرتی ہے کہ سرٹیفکیٹ کی میعاد ختم ہونا آج بھی ایک اہم مسئلہ ہے۔

اس سلسلے میں، یہ ایک اصل طریقہ کو دیکھنا دلچسپ ہے کہ پروٹوکول ڈویلپرز نے اس کام سے کیسے نمٹا DNSCrypt۔. ان کے حل کو دو حصوں میں تقسیم کیا جا سکتا ہے۔ سب سے پہلے، یہ مختصر مدت کے سرٹیفکیٹ ہیں. دوم، صارفین کو طویل مدتی کی میعاد ختم ہونے کے بارے میں خبردار کرنا۔

DNSCrypt۔

DNSCrypt ایک DNS ٹریفک انکرپشن پروٹوکول ہے۔ یہ DNS مواصلات کو مداخلتوں اور MiTMs سے بچاتا ہے، اور آپ کو DNS استفسار کی سطح پر بلاکنگ کو نظرانداز کرنے کی بھی اجازت دیتا ہے۔

پروٹوکول کلائنٹ اور سرور کے درمیان DNS ٹریفک کو ایک خفیہ ساخت میں لپیٹتا ہے، UDP اور TCP ٹرانسپورٹ پروٹوکول پر کام کرتا ہے۔ اسے استعمال کرنے کے لیے، کلائنٹ اور DNS حل کرنے والے دونوں کو DNSCrypt کو سپورٹ کرنا چاہیے۔ مثال کے طور پر، مارچ 2016 سے، اسے اپنے DNS سرورز اور Yandex براؤزر میں فعال کر دیا گیا ہے۔ کئی دوسرے فراہم کنندگان نے بھی حمایت کا اعلان کیا ہے، بشمول گوگل اور کلاؤڈ فلیئر۔ بدقسمتی سے، ان میں سے زیادہ نہیں ہیں (152 عوامی DNS سرور آفیشل ویب سائٹ پر درج ہیں)۔ لیکن پروگرام dnscrypt-proxy لینکس، ونڈوز اور میک او ایس کلائنٹس پر دستی طور پر انسٹال کیا جا سکتا ہے۔ بھی ہیں۔ سرور کے نفاذ.

DNSCrypt کیسے کام کرتا ہے؟ مختصراً، کلائنٹ منتخب فراہم کنندہ کی عوامی کلید لیتا ہے اور اسے اپنے سرٹیفکیٹس کی تصدیق کے لیے استعمال کرتا ہے۔ سیشن کے لیے قلیل مدتی عوامی کلیدیں اور سائفر سویٹ شناخت کنندہ پہلے سے موجود ہیں۔ کلائنٹس کو ہر درخواست کے لیے ایک نئی کلید بنانے کی ترغیب دی جاتی ہے، اور سرورز کو چابیاں تبدیل کرنے کی ترغیب دی جاتی ہے۔ ہر 24 گھنٹے. چابیاں کا تبادلہ کرتے وقت، X25519 الگورتھم استعمال کیا جاتا ہے، دستخط کرنے کے لیے - EdDSA، بلاک انکرپشن کے لیے - XSalsa20-Poly1305 یا XChaCha20-Poly1305۔

پروٹوکول ڈویلپرز میں سے ایک فرینک ڈینس لکھتے ہیںکہ ہر 24 گھنٹے میں خودکار تبدیلی سے معیاد ختم ہونے والے سرٹیفکیٹس کا مسئلہ حل ہو جاتا ہے۔ اصولی طور پر، dnscrypt-proxy حوالہ کلائنٹ کسی بھی درست مدت کے ساتھ سرٹیفکیٹ قبول کرتا ہے، لیکن اگر یہ 24 گھنٹے سے زیادہ درست ہے تو "اس سرور کے لیے dnscrypt-proxy کلیدی مدت بہت طویل ہے" کی وارننگ جاری کرتا ہے۔ ایک ہی وقت میں، ایک Docker تصویر جاری کی گئی تھی، جس میں چابیاں (اور سرٹیفکیٹس) کی فوری تبدیلی کو لاگو کیا گیا تھا.

سب سے پہلے، یہ سیکورٹی کے لیے انتہائی مفید ہے: اگر سرور سے سمجھوتہ کیا گیا ہے یا کلید لیک ہو گئی ہے، تو کل کی ٹریفک کو ڈکرپٹ نہیں کیا جا سکتا۔ کلید پہلے ہی بدل چکی ہے۔ یہ ممکنہ طور پر یارووایا قانون کے نفاذ کے لیے ایک مسئلہ پیدا کرے گا، جو فراہم کنندگان کو تمام ٹریفک، بشمول خفیہ کردہ ٹریفک کو ذخیرہ کرنے پر مجبور کرتا ہے۔ اس کا مطلب یہ ہے کہ اگر ضروری ہو تو سائٹ سے کلید کی درخواست کرکے اسے بعد میں ڈکرپٹ کیا جاسکتا ہے۔ لیکن اس صورت میں، سائٹ صرف اسے فراہم نہیں کر سکتی، کیونکہ یہ پرانی کو حذف کرتے ہوئے مختصر مدت کی چابیاں استعمال کرتی ہے۔

لیکن سب سے اہم بات، ڈینس لکھتے ہیں، قلیل مدتی چابیاں پہلے دن سے ہی سرورز کو آٹومیشن ترتیب دینے پر مجبور کرتی ہیں۔ اگر سرور نیٹ ورک سے جڑتا ہے اور کلیدی تبدیلی کی اسکرپٹس کنفیگر نہیں ہیں یا کام نہیں کر رہی ہیں، تو اس کا فوری پتہ چل جائے گا۔

جب آٹومیشن ہر چند سال بعد کلیدوں کو تبدیل کرتی ہے، تو اس پر بھروسہ نہیں کیا جا سکتا، اور لوگ سرٹیفکیٹ کی میعاد ختم ہونے کو بھول سکتے ہیں۔ اگر آپ روزانہ چابیاں تبدیل کرتے ہیں، تو اس کا فوری طور پر پتہ چل جائے گا۔

ایک ہی وقت میں، اگر آٹومیشن کو عام طور پر ترتیب دیا جاتا ہے، تو اس سے کوئی فرق نہیں پڑتا ہے کہ چابیاں کتنی بار تبدیل کی جاتی ہیں: ہر سال، ہر سہ ماہی یا دن میں تین بار۔ فرینک ڈینس لکھتے ہیں کہ اگر ہر چیز 24 گھنٹے سے زیادہ کام کرتی ہے، تو یہ ہمیشہ کے لیے کام کرے گی۔ ان کے مطابق، پروٹوکول کے دوسرے ورژن میں روزانہ کلید کی گردش کی سفارش، ایک ساتھ تیار شدہ ڈوکر امیج کے ساتھ جو اسے نافذ کرتی ہے، مؤثر طریقے سے ختم ہونے والے سرٹیفکیٹس کے ساتھ سرورز کی تعداد کو کم کرتی ہے، جبکہ ساتھ ہی ساتھ سیکیورٹی کو بھی بہتر بناتی ہے۔

تاہم، کچھ فراہم کنندگان نے ابھی بھی کچھ تکنیکی وجوہات کی بناء پر، سرٹیفکیٹ کی میعاد کی مدت 24 گھنٹے سے زیادہ مقرر کرنے کا فیصلہ کیا۔ یہ مسئلہ بڑی حد تک dnscrypt-proxy میں کوڈ کی چند سطروں کے ساتھ حل کیا گیا تھا: صارفین کو سرٹیفکیٹ کی میعاد ختم ہونے سے 30 دن پہلے ایک معلوماتی انتباہ موصول ہوتا ہے، میعاد ختم ہونے سے 7 دن پہلے ایک اور پیغام جس کی شدت کی سطح زیادہ ہوتی ہے، اور ایک اہم پیغام اگر سرٹیفکیٹ میں کوئی باقی رہ جاتا ہے۔ 24 گھنٹے سے کم یہ صرف ان سرٹیفکیٹس پر لاگو ہوتا ہے جن کی ابتدائی مدت طویل ہوتی ہے۔

یہ پیغامات صارفین کو یہ موقع فراہم کرتے ہیں کہ ڈی این ایس آپریٹرز کو سرٹیفکیٹ کی میعاد ختم ہونے کے بارے میں مطلع کریں اس سے پہلے کہ بہت دیر ہو جائے۔

شاید اگر تمام فائر فاکس صارفین کو ایسا پیغام موصول ہوتا ہے، تو شاید کوئی شخص ڈویلپرز کو مطلع کرے گا اور وہ سرٹیفکیٹ کو ختم نہیں ہونے دیں گے۔ "مجھے عوامی DNS سرورز کی فہرست میں ایک بھی DNSCrypt سرور یاد نہیں ہے جس کا سرٹیفکیٹ پچھلے دو یا تین سالوں میں ختم ہو گیا ہو،" فرینک ڈینس لکھتے ہیں۔ کسی بھی صورت میں، بغیر کسی وارننگ کے ایکسٹینشن کو غیر فعال کرنے کے بجائے صارفین کو پہلے انتباہ کرنا بہتر ہے۔

ماخذ: www.habr.com