صورة بواسطة Uzoma Ozurumba ، CC BY-SA 4.0 ، لا توجد تغييرات التكوين>
أنا بشكل عام من أشد المعجبين بـ DNS المشفر للأمان الذي يقدمه مع أداء ضئيل تأثير. لكنني اكتشفت مؤخرًا الطريقة الصعبة التي يمكن أن يحظرها DNS عبر TLS / HTTPS باستخدام بروتوكول وقت الشبكة (NTP) على الأجهزة المضمنة بدون ساعة تعمل بالبطارية في الوقت الفعلي. p>
العديد من أجهزة التوجيه منخفضة التكلفة لا تحتوي على بطارية للحفاظ على الوقت أثناء فقدان الطاقة. بعد أن تفقد هذه الأجهزة الطاقة الرئيسية ، فإنها تبدأ بساعتها التي تمت تهيئتها لوقت سابق ، عادةً ما يكون عصر Unix ، 1 يناير 1970.
ثم يستخدم الجهاز NTP لاسترداد الوقت الحالي من الإنترنت. يتم تحديد مصدر NTP كمجموعة من أسماء النطاقات مثل pool.ntp.org ، لذلك يبدأ الجهاز في تحليل DNS للمجال المختار لبدء NTP.
كجزء من عملية DNS المشفرة ، يتم التحقق من صحة شهادة TLS للمزود. لكن شهادات TLS صالحة فقط في غضون فترة زمنية معينة ، والتي يتم تحديدها بواسطة الشرطين "ليس قبل" و "ليس بعد" على الشهادة. حتى يتم التحقق منها ، يجب أن يكون التوقيت المحلي صحيحًا! p> $ openssl s_client -connect dns.google:853 | opensl x509-نص | grep -A2 صلاحية "الصلاحية" ليس قبل: 28 نوفمبر 08:19:04 2022 GMT ليس بعد: 20 فبراير 08:19:03 2023 GMT $ openssl s_client -connect 1dot1dot1dot1.cloudflare-dns.com:853 | opensl x509-نص | grep -A2 صلاحية 'Validity' ليس قبل: 13 سبتمبر 00:00:00 2022 GMT ليس بعد: 13 سبتمبر 23:59:59 2023 GMT
صورة بواسطة Uzoma Ozurumba ، CC BY-SA 4.0 ، لا توجد تغييرات التكوين>
أنا بشكل عام من أشد المعجبين بـ DNS المشفر للأمان الذي يقدمه مع أداء ضئيل تأثير. لكنني اكتشفت مؤخرًا الطريقة الصعبة التي يمكن أن يحظرها DNS عبر TLS / HTTPS باستخدام بروتوكول وقت الشبكة (NTP) على الأجهزة المضمنة بدون ساعة تعمل بالبطارية في الوقت الفعلي. p>
العديد من أجهزة التوجيه منخفضة التكلفة لا تحتوي على بطارية للحفاظ على الوقت أثناء فقدان الطاقة. بعد أن تفقد هذه الأجهزة الطاقة الرئيسية ، فإنها تبدأ بساعتها التي تمت تهيئتها لوقت سابق ، عادةً ما يكون عصر Unix ، 1 يناير 1970.
ثم يستخدم الجهاز NTP لاسترداد الوقت الحالي من الإنترنت. يتم تحديد مصدر NTP كمجموعة من أسماء النطاقات مثل pool.ntp.org ، لذلك يبدأ الجهاز في تحليل DNS للمجال المختار لبدء NTP.
كجزء من عملية DNS المشفرة ، يتم التحقق من صحة شهادة TLS للمزود. لكن شهادات TLS صالحة فقط في غضون فترة زمنية معينة ، والتي يتم تحديدها بواسطة الشرطين "ليس قبل" و "ليس بعد" على الشهادة. حتى يتم التحقق منها ، يجب أن يكون التوقيت المحلي صحيحًا! p> $ openssl s_client -connect dns.google:853 | opensl x509-نص | grep -A2 صلاحية "الصلاحية" ليس قبل: 28 نوفمبر 08:19:04 2022 GMT ليس بعد: 20 فبراير 08:19:03 2023 GMT $ openssl s_client -connect 1dot1dot1dot1.cloudflare-dns.com:853 | opensl x509-نص | grep -A2 صلاحية 'Validity' ليس قبل: 13 سبتمبر 00:00:00 2022 GMT ليس بعد: 13 سبتمبر 23:59:59 2023 GMT