Как dnscrypt решил проблему просроченных сертификатов, введя срок действия 24 часа
Раньше сертификаты часто истекали из-за того, что их нужно было обновлять вручную. Люди просто забывали это сделать. С появлением Let’s Encrypt и автоматической процедуры обновления вроде бы проблема должна быть решена. Но недавняя история с Firefox показывает, что на самом деле она по-прежнему актуальна. К сожалению, сертификаты продолжают истекать.
Если кто-то пропустил эту историю, в полночь 4 мая 2021 года внезапно прекратили работать почти все расширения Firefox.
Как выяснилось, массовый сбой возник из-за того, что у Mozilla истёк срок действия сертификата, который использовался для подписи расширений. Поэтому они отмечались как «невалидные» и не проходили проверку (технические детали). На форумах в качестве обходного пути рекомендовали отключить проверку подписей расширений в about:config или переводом системных часов.
Mozilla оперативно выпустила патч Firefox 66.0.4, который решает проблему с невалидным сертификатом, а все расширения возвращаются в нормальный вид. Разработчики рекомендуют установить его и не использовать никакие обходные пути для обхода проверки подписей, потому что они могут конфликтовать с патчем.
Тем не менее, эта история ещё раз показывает, что истечение срока действия сертификатов остаётся актуальной проблемой и сегодня.
В связи с этим интересно посмотреть на довольно оригинальный способ, как с этой задачей справились разработчики протокола DNSCrypt. Их решение можно разделить на две части. Во-первых, это краткосрочные сертификаты. Во-вторых предупреждение пользователей об окончании срока действия долгосрочных.
DNSCrypt — протокол шифрования DNS-трафика. Он защищает DNS-коммуникации от перехватов и MiTM, а также позволяет обойти блокировки на уровне DNS-запросов.
Протокол оборачивает DNS-трафик между клиентом и сервером в криптографическую конструкцию, работая по транспортным протоколам UDP и TCP. Чтобы его использовать, и клиент, и DNS-резолвер должны поддерживать DNSCrypt. Например, с марта 2021 года его включил на своих DNS-серверах и в браузере «Яндекс». О поддержке объявили и некоторые другие провайдеры, в том числе Google и Cloudflare. К сожалению, их не так много (на официальном сайте перечислено 152 публичных DNS-сервера). Но программу dnscrypt-proxy можно установить вручную на клиентах под Linux, Windows и MacOS. Есть и серверные имплементации.
Как работает DNSCrypt? Если вкратце, то клиент берёт публичный ключ выбранного провайдера и с его помощью проверяет его сертификаты. Уже там находятся краткосрочные публичные ключи для сессии и идентификатор набора шифров. Клиентам рекомендуется генерировать новый ключ для каждого запроса, а серверам — менять ключи каждые 24 часа. При обмене ключами применяется алгоритм X25519, для подписи — EdDSA, для блочного шифрования — XSalsa20-Poly1305 или XChaCha20-Poly1305.
Один из разработчиков протокола Фрэнк Денис пишет, что автоматическая замена каждые 24 часа решила проблему просроченных сертификатов. В принципе, эталонный клиент dnscrypt-proxy принимает сертификаты с любым сроком действия, но выдаёт предупреждение «Период dnscrypt-proxy ключей для этого сервера слишком велик», если он действителен более 24 часов. Одновременно был выпущен образ Docker, в котором реализовали быструю смену ключей (и сертификатов).
Во-первых, это чрезвычайно полезно для безопасности: если сервер скомпрометирован или ключ утёк, то вчерашний трафик не может быть расшифрован. Ключ уже изменился. Вероятно, это составит проблему для исполнения «закона Яровой», который вынуждает провайдеров хранить весь трафик, в том числе зашифрованный. Подразумевается, что позже его можно будет расшифровать при необходимости, запросив ключ у сайта. Но в данном случае сайт просто не сможет его предоставить, потому что использует кратковременные ключи, удаляя старые.
Но главное, пишет Денис, краткосрочные ключи заставляют серверы с первого дня настроить автоматизацию. Если сервер подключается к сети, а скрипты смены ключей не настроены или не работают, это будет немедленно обнаружено.
Когда автоматизация меняет ключи раз в несколько лет, на неё нельзя положиться, а люди могут забыть об окончании срока действия сертификата. При ежедневной смене ключей это будет обнаружено мгновенно.
В то же время, если автоматизация настроена нормально, то не имеет значения, как часто производится смена ключей: каждый год, каждый квартал или три раза в день. Если всё работает более 24 часов, то будет работать вечно, пишет Фрэнк Денис. По его словам, рекомендация ежесуточной смены ключей во второй версии протокола вместе с готовым образом Docker, реализующим это, эффективно уменьшило количество серверов с истёкшими сертификатами, одновременно улучшив безопасность.
Однако некоторые провайдеры всё-таки решили по каким-то техническим причинам установить срок действия сертификата более 24 часов. Эту проблему в основном решили с помощью нескольких строк кода в dnscrypt-proxy: пользователи получают информационное предупреждение за 30 дней до истечения срока действия сертификата, другое сообщение с более высоким уровнем серьёзности за 7 дней до истечения срока действия и критическое сообщение, если у сертификата осталось менее 24 часов. Это относится только к сертификатам, изначально имеющим длительный срок действия.
Такие сообщения дают пользователям возможность сообщить операторам DNS о предстоящем истечении срока действия сертификата, пока не стало слишком поздно.
Возможно, если бы все пользователи Firefox получили такое сообщение, то уж кто-нибудь наверняка сообщил разработчикам и те бы не допустили истечения срока действия сертификата. «Я не помню ни одного DNSCrypt-сервера из списка общедоступных DNS-серверов, у которых истёк срок действия сертификата за последние два или три года», — пишет Фрэнк Денис. В любом случае, наверное, лучше сначала предупреждать пользователей, а не отключать расширения без предупреждения.
Как leaderssl помогает поддерживать актуальность всех ssl-сертификатов
Управление сертификатами – головная боль для многих предприятий. Корпоративные клиенты нередко имеют обширные разрозненные сети, многочисленные устройства, подключенные к ним, и за всем этим нужно следить.
Чтобы облегчить этот процесс, мы предлагаем следующие инструменты и механизмы:
Истекшие SSL-сертификаты – причина многочисленных проблем и неприятностей для бизнеса. Чтобы предлагать своим клиентам лучший опыт взаимодействия, обязательно вовремя продлевайте свои сертификаты в LeaderSSL.
Даже если раньше вы заказывали SSL-сертификат в другом магазине, вы можете продлить свой сертификат у нас. Сделайте шаг к стабильному будущему вместе с LeaderSSL!
Могу ли я вернуть деньги за просроченный подарочный сертификат?
В соответствии со ст. 421 Гражданского Кодекса РФ граждане и юридические лица свободны в заключение договора. Стороны могут заключить договор, как предусмотренный, так и не предусмотренный законом или иными правовыми актами.
В данном случае подарочный сертификат будет выступать в качестве непоименованного договора в соответствии, с которым покупатель вправе потребовать любой товар, имеющийся у магазина, в рамках указанной в сертификате суммы и оговоренного срока, а магазин обязан в рамках данной суммы и срока передать товар.
Деньги, полученные по подарочным сертификатам, нельзя считать безвозмездно полученными, так как у продавца возникает обязательство перед держателем подарочных сертификатов принять данный сертификат в качестве средства платежа за товар. Невыполнение данной обязанности в установленный сертификатом срок, в том числе и по причинам, не зависящим от продавца, не может являться основанием для изменения квалификации правоотношений сторон, как безвозмездных.
В связи с этим по истечении срока действия подарочных сертификатов, при неиспользовании их держателем потенциальной возможности покупки товара, уплаченные за них денежные средства являются неосновательным обогащением продавца и подлежат возврату.
В соответствии со ст. 1102 Гражданского Кодекса РФ лицо, которое без установленных законом, иными правовыми актами или сделкой оснований приобрело или сберегло имущество (приобретатель) за счет другого лица (потерпевшего), обязано возвратить последнему неосновательно приобретенное или сбереженное имущество (неосновательное обогащение).
В соответствии с п. 3 ст. 425 Гражданского Кодекса РФ предусмотрено, что окончание срока действия договора влечет прекращение обязательств, сторон по договору.
Согласно п. 4 ст. 453 Гражданского Кодекса РФ предусмотрено, что стороны не вправе требовать возвращения того, что было исполнено ими по обязательству до момента изменения или расторжения договора, если иное не установлено законом или соглашением сторон.
Вместе с тем данная правовая норма касается только случая расторжения договора, а не его прекращения в связи с истечением срока действия. При прекращении договора в связи с истечением срока его действия обязательства сторон прекращаются, и у продавца отсутствуют основание для удержания полученной от потребителя денежной суммы, что влечет необходимость ее возврата).
Тем самым плата за подарочный сертификат — это не плата за товар, а аванс (предоплата) за товар или услугу. Если договор прекратился, а товары не переданы или услуги не оказаны, у продавца больше нет права удерживать уплаченные за сертификат деньги — они являются его неосновательным обогащением.
На основании выше перечисленного законодательства, если у Вас вышел срок действия подарочного сертификата, Вы имеете право обратиться с письменной претензией к продавцу, а при отказе продавца в возврате Вам суммы уплаченной за сертификат Вы вправе, на основании п. 2 ст. 17 Закона РФ «О защите прав потребителей» от 07.02.1992г. №2300-1 (далее Закон), предъявить иск в суд по своему месту жительства или по месту пребывания либо по месту нахождения ответчика либо по месту заключения или исполнения договора.
Кроме того за удержание продавцом Ваших денежных средств, в суде Вы имеете право потребовать от продавца выплаты процентов (неустойки) в соответствии с требованием ст. 395 Гражданского Кодекса РФ.
При полном или частичном копировании информационного материала ссылка на сайт Управления Роспотребнадзора по Волгоградской области обязательна:
Сертификат истек: чем это грозит на практике?
Как вы знаете, срок действия SSL-сертификатов является ограниченным. Это требование CA/B Forum, регулирующего органа индустрии SSL-сертификации. Несколько лет назад вполне легально можно было заказать трехлетние, четырехлетние или даже пятилетние SSL-сертификаты.
Это ведет к тому, что SSL-сертификат нужно обновлять или заменять – либо каждый год, либо раз в 2 года.
При посещении сайта пользовательский браузер выполняет проверку достоверности SSL-сертификата. Если срок действия сертификата истек, то в таком случае браузер выдаст следующее предупреждение:
Естественно, все это чревато следующими негативными последствиями:
- Трафик вашего сайта кардинально упадет. Как показывают исследования, пользователи, столкнувшиеся с подобным уведомлением, тут же закрывают сайт. Лишь малая часть всех посетителей принимает истекший сертификат.
- Продажи сильно снизятся. Поскольку сайт выдает предупреждение, пользователи могут посчитать, что ресурс является небезопасным, а потому не станут совершать покупки, даже если делали их на этом же сайте ранее.
- Показатели ранжирования сайта сильно упадут. В ближайшей перспективе ваш сайт будет постепенно сваливаться вниз в поисковой выдаче, так как поисковые роботы учитывают многие факторы, в том числе и поведение посетителей.
Истечение сертификата грозит катастрофическими последствиями для любого бизнеса. Если вы являетесь клиентом LeaderSSL, то вы можете обезопасить себя от подобных чрезвычайных ситуаций.