صورة بواسطة Uzoma Ozurumba ، CC BY-SA 4.0 ، لا توجد تغييرات
أنا بشكل عام من أشد المعجبين بـ DNS المشفر للأمان الذي يقدمه مع أداء ضئيل تأثير. لكنني اكتشفت مؤخرًا الطريقة الصعبة التي يمكن أن يحظرها DNS عبر TLS / HTTPS باستخدام بروتوكول وقت الشبكة (NTP) على الأجهزة المضمنة بدون ساعة تعمل بالبطارية في الوقت الفعلي.
العديد من أجهزة التوجيه منخفضة التكلفة لا تحتوي على بطارية للحفاظ على الوقت أثناء فقدان الطاقة. بعد أن تفقد هذه الأجهزة الطاقة الرئيسية ، فإنها تبدأ بساعتها التي تمت تهيئتها لوقت سابق ، عادةً ما يكون عصر Unix ، 1 يناير 1970.
ثم يستخدم الجهاز NTP لاسترداد الوقت الحالي من الإنترنت. يتم تحديد مصدر NTP كمجموعة من أسماء النطاقات مثل pool.ntp.org ، لذلك يبدأ الجهاز في تحليل DNS للمجال المختار لبدء NTP.
كجزء من عملية DNS المشفرة ، يتم التحقق من صحة شهادة TLS للمزود. لكن شهادات TLS صالحة فقط في غضون فترة زمنية معينة ، والتي يتم تحديدها بواسطة الشرطين "ليس قبل" و "ليس بعد" على الشهادة. حتى يتم التحقق منها ، يجب أن يكون التوقيت المحلي صحيحًا! $ openssl s_client -connect dns.google:853 | opensl x509-نص | grep -A2 صلاحية "الصلاحية" ليس قبل: 28 نوفمبر 08:19:04 2022 GMT ليس بعد: 20 فبراير 08:19:03 2023 GMT $ openssl s_client -connect 1dot1dot1dot1.cloudflare-dns.com:853 | opensl x509-نص | grep -A2 صلاحية 'Validity' ليس قبل: 13 سبتمبر 00:00:00 2022 GMT ليس بعد: 13 سبتمبر 23:59:59 2023 GMT
صورة بواسطة Uzoma Ozurumba ، CC BY-SA 4.0 ، لا توجد تغييرات
أنا بشكل عام من أشد المعجبين بـ DNS المشفر للأمان الذي يقدمه مع أداء ضئيل تأثير. لكنني اكتشفت مؤخرًا الطريقة الصعبة التي يمكن أن يحظرها DNS عبر TLS / HTTPS باستخدام بروتوكول وقت الشبكة (NTP) على الأجهزة المضمنة بدون ساعة تعمل بالبطارية في الوقت الفعلي.
العديد من أجهزة التوجيه منخفضة التكلفة لا تحتوي على بطارية للحفاظ على الوقت أثناء فقدان الطاقة. بعد أن تفقد هذه الأجهزة الطاقة الرئيسية ، فإنها تبدأ بساعتها التي تمت تهيئتها لوقت سابق ، عادةً ما يكون عصر Unix ، 1 يناير 1970.
ثم يستخدم الجهاز NTP لاسترداد الوقت الحالي من الإنترنت. يتم تحديد مصدر NTP كمجموعة من أسماء النطاقات مثل pool.ntp.org ، لذلك يبدأ الجهاز في تحليل DNS للمجال المختار لبدء NTP.
كجزء من عملية DNS المشفرة ، يتم التحقق من صحة شهادة TLS للمزود. لكن شهادات TLS صالحة فقط في غضون فترة زمنية معينة ، والتي يتم تحديدها بواسطة الشرطين "ليس قبل" و "ليس بعد" على الشهادة. حتى يتم التحقق منها ، يجب أن يكون التوقيت المحلي صحيحًا! $ openssl s_client -connect dns.google:853 | opensl x509-نص | grep -A2 صلاحية "الصلاحية" ليس قبل: 28 نوفمبر 08:19:04 2022 GMT ليس بعد: 20 فبراير 08:19:03 2023 GMT $ openssl s_client -connect 1dot1dot1dot1.cloudflare-dns.com:853 | opensl x509-نص | grep -A2 صلاحية 'Validity' ليس قبل: 13 سبتمبر 00:00:00 2022 GMT ليس بعد: 13 سبتمبر 23:59:59 2023 GMT
