Ilgari sertifikatlar ko'pincha muddati tugaydi, chunki ularni qo'lda yangilash kerak edi. Odamlar buni qilishni unutishdi. Let's Encrypt va avtomatik yangilash protsedurasining paydo bo'lishi bilan muammoni hal qilish kerakdek tuyuladi. Ammo yaqinda
Agar siz hikoyani o'tkazib yuborgan bo'lsangiz, 4 yil 2019-may yarim tunda deyarli barcha Firefox kengaytmalari to'satdan ishlamay qoldi.
Ma'lum bo'lishicha, katta nosozlik Mozilla tufayli yuzaga kelgan
Mozilla tezda Firefox 66.0.4 yamog'ini chiqardi, bu yaroqsiz sertifikat bilan muammoni hal qiladi va barcha kengaytmalar normal holatga qaytadi. Ishlab chiquvchilar uni o'rnatishni tavsiya qiladi va
Biroq, bu voqea sertifikatning amal qilish muddati bugungi kunda dolzarb muammo bo'lib qolayotganini yana bir bor ko'rsatadi.
Shu munosabat bilan, protokol ishlab chiquvchilari ushbu vazifani qanday hal qilishganligining o'ziga xos usulini ko'rib chiqish qiziq
DNSCrypt
DNSCrypt - bu DNS trafigini shifrlash protokoli. U DNS aloqalarini ushlab turish va MiTM dan himoya qiladi, shuningdek, DNS so'rovi darajasida bloklashni chetlab o'tishga imkon beradi.
Protokol mijoz va server o'rtasidagi DNS-trafikni UDP va TCP transport protokollari orqali ishlaydigan kriptografik konstruktsiyaga o'tkazadi. Uni ishlatish uchun mijoz ham, DNS-resolver ham DNSCrypt-ni qo'llab-quvvatlashi kerak. Misol uchun, 2016 yil mart oyidan boshlab u DNS serverlarida va Yandex brauzerida yoqilgan. Bir qancha boshqa provayderlar ham Google va Cloudflare kabi qo'llab-quvvatlashni e'lon qilishdi. Afsuski, ularning ko'pi yo'q (rasmiy veb-saytda 152 ta umumiy DNS serverlari keltirilgan). Lekin dastur
DNSCrypt qanday ishlaydi? Muxtasar qilib aytganda, mijoz tanlangan provayderning ochiq kalitini oladi va uning sertifikatlarini tekshirish uchun foydalanadi. Seans uchun qisqa muddatli ochiq kalitlar va shifrlar to'plami identifikatori allaqachon mavjud. Mijozlarga har bir so'rov uchun yangi kalit yaratish tavsiya etiladi va serverlarga kalitlarni o'zgartirish tavsiya etiladi har 24 soatda. Kalitlarni almashtirishda X25519 algoritmi, imzolash uchun - EdDSA, blokli shifrlash uchun - XSalsa20-Poly1305 yoki XChaCha20-Poly1305 ishlatiladi.
Protokolni ishlab chiquvchilardan biri Frank Denis
Birinchidan, bu xavfsizlik uchun juda foydali: agar server buzilgan bo'lsa yoki kalit sizib ketgan bo'lsa, kechagi trafikni shifrlab bo'lmaydi. Kalit allaqachon o'zgargan. Bu, ehtimol, provayderlarni barcha trafikni, shu jumladan shifrlangan trafikni saqlashga majbur qiladigan Yarovaya qonunini amalga oshirish uchun muammo tug'diradi. Buning ma'nosi shundan iboratki, agar kerak bo'lsa, saytdan kalitni so'rash orqali uni keyinchalik shifrlash mumkin. Ammo bu holda, sayt uni taqdim eta olmaydi, chunki u qisqa muddatli kalitlardan foydalanadi, eskilarini o'chiradi.
Lekin eng muhimi, deb yozadi Denis, qisqa muddatli kalitlar serverlarni birinchi kundanoq avtomatlashtirishni o‘rnatishga majbur qiladi. Agar server tarmoqqa ulansa va kalitni o'zgartirish skriptlari sozlanmagan yoki ishlamayotgan bo'lsa, bu darhol aniqlanadi.
Avtomatlashtirish kalitlarni bir necha yilda bir marta o'zgartirganda, bunga ishonib bo'lmaydi va odamlar sertifikatning amal qilish muddatini unutishi mumkin. Agar siz har kuni kalitlarni almashtirsangiz, bu darhol aniqlanadi.
Shu bilan birga, agar avtomatlashtirish an'anaviy tarzda sozlangan bo'lsa, unda kalitlarning qanchalik tez-tez o'zgarishi muhim emas: har yili, har chorakda yoki kuniga uch marta. Agar hamma narsa 24 soatdan ortiq ishlasa, u abadiy ishlaydi, deb yozadi Frank Denis. Uning so‘zlariga ko‘ra, protokolning ikkinchi versiyasida kalitlarni kunlik aylantirish tavsiyasi uni amalga oshiruvchi tayyor Docker tasviri bilan birgalikda amal qilish muddati o‘tgan sertifikatlarga ega serverlar sonini samarali ravishda qisqartirgan, shu bilan birga xavfsizlikni yaxshilagan.
Biroq, ba'zi provayderlar ba'zi texnik sabablarga ko'ra sertifikatning amal qilish muddatini 24 soatdan ortiq qilib belgilashga qaror qilishdi. Bu muammo asosan dnscrypt-proxy-da bir necha qator kod yordamida hal qilindi: foydalanuvchilar sertifikatning amal qilish muddati tugashidan 30 kun oldin axborot ogohlantirish oladi, muddati tugashidan 7 kun oldin jiddiylik darajasi yuqori boʻlgan boshqa xabar va agar sertifikatda qolgan boʻlsa, tanqidiy xabar keladi. amal qilish muddati 24 soatdan kam. Bu faqat dastlab uzoq amal qilish muddatiga ega bo'lgan sertifikatlar uchun amal qiladi.
Ushbu xabarlar foydalanuvchilarga DNS operatorlarini sertifikatning amal qilish muddati tugashi haqida juda kech bo'lmasdan xabardor qilish imkoniyatini beradi.
Ehtimol, agar barcha Firefox foydalanuvchilari bunday xabarni olgan bo'lsa, unda kimdir ishlab chiquvchilarni xabardor qilishi mumkin va ular sertifikatning amal qilish muddati tugashiga yo'l qo'ymaydi. “Ommaviy DNS serverlar roʻyxatida oxirgi ikki-uch yil ichida sertifikati muddati tugagan bitta DNSCrypt serverini eslay olmayman”, deb yozadi Frank Denis. Qanday bo'lmasin, kengaytmalarni ogohlantirmasdan o'chirib qo'yishdan ko'ra, avvalo foydalanuvchilarni ogohlantirish yaxshiroqdir.
Manba: www.habr.com