Ilgari sertifikatlar ko'pincha muddati tugaydi, chunki ularni qo'lda yangilash kerak edi. Odamlar buni qilishni unutishdi. Let's Encrypt va avtomatik yangilash protsedurasining paydo bo'lishi bilan muammoni hal qilish kerakdek tuyuladi. Ammo yaqinda haqiqatda hamon dolzarbligini ko‘rsatadi. Afsuski, sertifikatlar muddati tugashda davom etmoqda.
Agar siz hikoyani o'tkazib yuborgan bo'lsangiz, 4 yil 2019-may yarim tunda deyarli barcha Firefox kengaytmalari to'satdan ishlamay qoldi.
Ma'lum bo'lishicha, katta nosozlik Mozilla tufayli yuzaga kelgan , bu kengaytmalarni imzolash uchun ishlatilgan. Shuning uchun ular "yaroqsiz" deb belgilandi va tekshirilmadi (). Forumlarda vaqtinchalik yechim sifatida kengaytmali imzo tekshiruvini o'chirib qo'yish tavsiya qilindi haqida: config yoki tizim soatini o'zgartirish.
Mozilla tezda Firefox 66.0.4 yamog'ini chiqardi, bu yaroqsiz sertifikat bilan muammoni hal qiladi va barcha kengaytmalar normal holatga qaytadi. Ishlab chiquvchilar uni o'rnatishni tavsiya qiladi va imzo tekshiruvini chetlab o'tish uchun vaqtinchalik echimlar yo'q, chunki ular yamoqqa zid bo'lishi mumkin.
Biroq, bu voqea sertifikatning amal qilish muddati bugungi kunda dolzarb muammo bo'lib qolayotganini yana bir bor ko'rsatadi.
Shu munosabat bilan, protokol ishlab chiquvchilari ushbu vazifani qanday hal qilishganligining o'ziga xos usulini ko'rib chiqish qiziq . Ularning yechimini ikki qismga bo'lish mumkin. Birinchidan, bu qisqa muddatli sertifikatlar. Ikkinchidan, foydalanuvchilarni uzoq muddatli foydalanish muddati tugashi haqida ogohlantirish.
DNSCrypt
DNSCrypt - bu DNS trafigini shifrlash protokoli. U DNS aloqalarini ushlab turish va MiTM dan himoya qiladi, shuningdek, DNS so'rovi darajasida bloklashni chetlab o'tishga imkon beradi.
Protokol mijoz va server o'rtasidagi DNS-trafikni UDP va TCP transport protokollari orqali ishlaydigan kriptografik konstruktsiyaga o'tkazadi. Uni ishlatish uchun mijoz ham, DNS-resolver ham DNSCrypt-ni qo'llab-quvvatlashi kerak. Misol uchun, 2016 yil mart oyidan boshlab u DNS serverlarida va Yandex brauzerida yoqilgan. Bir qancha boshqa provayderlar ham Google va Cloudflare kabi qo'llab-quvvatlashni e'lon qilishdi. Afsuski, ularning ko'pi yo'q (rasmiy veb-saytda 152 ta umumiy DNS serverlari keltirilgan). Lekin dastur Linux, Windows va MacOS mijozlariga qo'lda o'rnatilishi mumkin. Shuningdek bor .
DNSCrypt qanday ishlaydi? Muxtasar qilib aytganda, mijoz tanlangan provayderning ochiq kalitini oladi va uning sertifikatlarini tekshirish uchun foydalanadi. Seans uchun qisqa muddatli ochiq kalitlar va shifrlar to'plami identifikatori allaqachon mavjud. Mijozlarga har bir so'rov uchun yangi kalit yaratish tavsiya etiladi va serverlarga kalitlarni o'zgartirish tavsiya etiladi har 24 soatda. Kalitlarni almashtirishda X25519 algoritmi, imzolash uchun - EdDSA, blokli shifrlash uchun - XSalsa20-Poly1305 yoki XChaCha20-Poly1305 ishlatiladi.
Protokolni ishlab chiquvchilardan biri Frank Denis har 24 soatda avtomatik almashtirish muddati o'tgan sertifikatlar muammosini hal qilgan. Asosan, dnscrypt-proksi-server mijozi har qanday amal qilish muddati bo'lgan sertifikatlarni qabul qiladi, lekin agar u 24 soatdan ortiq amal qilsa, "Ushbu server uchun dnscrypt-proksi kaliti muddati juda uzun" degan ogohlantirishni chiqaradi. Shu bilan birga, Docker tasviri chiqarildi, unda kalitlarni (va sertifikatlarni) tez almashtirish amalga oshirildi.
Birinchidan, bu xavfsizlik uchun juda foydali: agar server buzilgan bo'lsa yoki kalit sizib ketgan bo'lsa, kechagi trafikni shifrlab bo'lmaydi. Kalit allaqachon o'zgargan. Bu, ehtimol, provayderlarni barcha trafikni, shu jumladan shifrlangan trafikni saqlashga majbur qiladigan Yarovaya qonunini amalga oshirish uchun muammo tug'diradi. Buning ma'nosi shundan iboratki, agar kerak bo'lsa, saytdan kalitni so'rash orqali uni keyinchalik shifrlash mumkin. Ammo bu holda, sayt uni taqdim eta olmaydi, chunki u qisqa muddatli kalitlardan foydalanadi, eskilarini o'chiradi.
Lekin eng muhimi, deb yozadi Denis, qisqa muddatli kalitlar serverlarni birinchi kundanoq avtomatlashtirishni o‘rnatishga majbur qiladi. Agar server tarmoqqa ulansa va kalitni o'zgartirish skriptlari sozlanmagan yoki ishlamayotgan bo'lsa, bu darhol aniqlanadi.
Avtomatlashtirish kalitlarni bir necha yilda bir marta o'zgartirganda, bunga ishonib bo'lmaydi va odamlar sertifikatning amal qilish muddatini unutishi mumkin. Agar siz har kuni kalitlarni almashtirsangiz, bu darhol aniqlanadi.
Shu bilan birga, agar avtomatlashtirish an'anaviy tarzda sozlangan bo'lsa, unda kalitlarning qanchalik tez-tez o'zgarishi muhim emas: har yili, har chorakda yoki kuniga uch marta. Agar hamma narsa 24 soatdan ortiq ishlasa, u abadiy ishlaydi, deb yozadi Frank Denis. Uning so‘zlariga ko‘ra, protokolning ikkinchi versiyasida kalitlarni kunlik aylantirish tavsiyasi uni amalga oshiruvchi tayyor Docker tasviri bilan birgalikda amal qilish muddati o‘tgan sertifikatlarga ega serverlar sonini samarali ravishda qisqartirgan, shu bilan birga xavfsizlikni yaxshilagan.
Biroq, ba'zi provayderlar ba'zi texnik sabablarga ko'ra sertifikatning amal qilish muddatini 24 soatdan ortiq qilib belgilashga qaror qilishdi. Bu muammo asosan dnscrypt-proxy-da bir necha qator kod yordamida hal qilindi: foydalanuvchilar sertifikatning amal qilish muddati tugashidan 30 kun oldin axborot ogohlantirish oladi, muddati tugashidan 7 kun oldin jiddiylik darajasi yuqori boʻlgan boshqa xabar va agar sertifikatda qolgan boʻlsa, tanqidiy xabar keladi. amal qilish muddati 24 soatdan kam. Bu faqat dastlab uzoq amal qilish muddatiga ega bo'lgan sertifikatlar uchun amal qiladi.
Ushbu xabarlar foydalanuvchilarga DNS operatorlarini sertifikatning amal qilish muddati tugashi haqida juda kech bo'lmasdan xabardor qilish imkoniyatini beradi.
Ehtimol, agar barcha Firefox foydalanuvchilari bunday xabarni olgan bo'lsa, unda kimdir ishlab chiquvchilarni xabardor qilishi mumkin va ular sertifikatning amal qilish muddati tugashiga yo'l qo'ymaydi. “Ommaviy DNS serverlar roʻyxatida oxirgi ikki-uch yil ichida sertifikati muddati tugagan bitta DNSCrypt serverini eslay olmayman”, deb yozadi Frank Denis. Qanday bo'lmasin, kengaytmalarni ogohlantirmasdan o'chirib qo'yishdan ko'ra, avvalo foydalanuvchilarni ogohlantirish yaxshiroqdir.
Manba: www.habr.com