Fexyn
Fexyn
All posts

شهادات VPN قصيرة الأمد: لماذا 24 ساعة أفضل من 12 شهراً

Fexyn Team··5 min read

عميل VPN يثق بالخادم الذي يتصل به عبر شهادة. تلك الشهادة تثبت أن الخادم هو من يقول إنه هو. إذا تسرّبت الشهادة — أُخذت من laptop مسروق، تسرّبت من نسخة احتياطية، استُخرجت من S3 bucket مكوّن خطأً — يستطيع المهاجم انتحال شخصية الخادم. حتى يلغي شخص ما تلك الشهادة يدوياً، كل عميل يتصل يحصل على man-in-the-middle بدون تحذير.

معظم VPN الاستهلاكية تصدر شهادات صالحة لأشهر. القليل يصدرها لسنوات. Fexyn يصدرها لـ 24 ساعة. هذا المنشور يشرح لماذا هذا هو الرقم الصحيح.

مشكلة إلغاء الشهادات التي لا يتحدث عنها أحد

الإجابة المعيارية لـ "ماذا لو تسرّبت شهادة" هي "نلغيها." الآلية هي Certificate Revocation List (CRL) أو ابن عمها الحديث OCSP (Online Certificate Status Protocol). العميل يفحص CRL، يرى أن الشهادة ملغاة، يرفض الثقة بها.

عملياً، كلا الآليتين غير موثوقتين.

CRLs بطيئة في الانتشار. الـ PKI ينشر CRL جديد على جدول — عادةً بالساعة أو اليوم. العملاء يخزّنون CRL مؤقتاً بين الفحوصات. بين الإلغاء والانتشار، كل عميل هناك لا يزال يثق بالشهادة الملغاة.

CRLs كبيرة. PKI طويل الأمد يجمع الإلغاءات. CRL يكبر بلا حدود حتى تنتهي صلاحية شهادة. CRLs بعدة megabytes شائعة. العملاء الذين يحملون CRL الكامل في كل اتصال يبطئون بمرور وقت PKI. العملاء الذين لا يفعلون يتأخرون في حالة الإلغاء.

OCSP من المفترض أن يصلح هذا بجعل فحوصات الإلغاء فورية لكل شهادة بدلاً من مجمّعة لكل CRL. عملياً، مستجيبو OCSP يتعطلون. عندما يكون المستجيب غير قابل للوصول، العملاء يواجهون اختياراً: fail closed (حجب الاتصال) أو fail open (الثقة بالشهادة على أي حال). معظمهم fail open، لأن fail closed يكسر تجربة المستخدم كلما تعثّر مستجيب OCSP. لذا عملياً، OCSP لا يلتقط الإلغاءات بشكل موثوق أيضاً.

المتصفحات استسلمت في النهاية. Chrome توقف عن OCSP افتراضياً في 2012. Firefox تبعه. انتقلوا إلى CRLSets وCRLite — مجموعات فرعية مُنسّقة من الإلغاءات تُدفع في تحديثات المتصفح. أفضل، لكن خصيصاً للمتصفحات، ليس لـ VPN.

لـ PKI الخاص بـ VPN: إذا تسرّبت شهادتك وألغيتها، تأمل أن كل عميل يحدّث CRL خاصته قبل أن يستخدمها المهاجم. تأمل ألا يفعلوا fail open أثناء انقطاع OCSP عابر. تأمل ألا يحدث شيء خطأ في الفجوة.

الشهادات قصيرة الأمد تتجاوز المشكلة

رؤية Let's Encrypt: إذا كانت الشهادات تنتهي صلاحيتها بسرعة كافية، لا تحتاج لإلغائها. الشهادة تختفي قبل أن تهم.

Let's Encrypt يصدر شهادات 90 يوماً. بيئة الويب أعادت بناء أتمتتها حول هذا القيد. ACME وcertbot والتجديد التلقائي — كل ذلك موجود لأن شخصاً قرر أن 90 يوماً قصير بما يكفي ليصبح الإلغاء حاشية بدلاً من ميزة.

لـ PKI الخاص بـ VPN يمكنك الذهاب أقصر. المقايضة:

  • شهادات طويلة (أشهر إلى سنوات): حمل تشغيلي منخفض، blast radius فظيع إذا اخترقت.
  • شهادات قصيرة (ساعات): حمل تشغيلي أعلى، blast radius منخفض.

24 ساعة هي النقطة الحلوة لعملاء VPN. طويلة بما يكفي ألا تثير دورة sleep/resume واحدة التجديد. قصيرة بما يكفي بحيث تنتهي صلاحية credential مسروق قبل أن يستطيع معظم المهاجمين فعل شيء به.

كيف يطبّقه Fexyn

Fexyn يشغّل HashiCorp Vault PKI كمصدر الشهادات. التكوين:

  • Root CA offline، محفوظ على hardware tokens. خارج متناول أي اختراق للبنية التحتية الجارية.
  • Intermediate CA online، يوقّع شهادات الخادم والعميل.
  • TTL لشهادة العميل: 24 ساعة.
  • TTL لشهادة الخادم: 24 ساعة، تُدوَّر تلقائياً.

التدفق عند الاتصال:

  1. عميل Fexyn يصادق إلى API ببيانات حسابك.
  2. API يطلب شهادة جديدة من Vault لعميلك.
  3. Vault يوقّع شهادة جديدة، صالحة لـ 24 ساعة.
  4. العميل يستخدم تلك الشهادة لنفق VPN.
  5. الشهادة تنتهي. الاتصال التالي يثير إصداراً جديداً.

الشهادة لا تجلس على القرص أطول من عمرها. لا يوجد سرّ طويل الأمد على laptop خاصتك يحتاج للنجاة بين الجلسات.

نماذج التهديد التي يعالجها هذا

Laptop مسروق. اللص لديه نافذة 24 ساعة لانتحال شخصيتك على VPN قبل أن تموت الشهادة. مقارنة بشهادة طويلة الأمد ستكون صالحة لأشهر: تحسّن دراماتيكي.

مصادرة الحدود. عبور الحدود مع laptop، أي مكان لدى الجمارك سلطة مصادرة موسعة. إذا صوّروا قرصك أو سحبوا credentials، تنتهي صلاحية تلك credentials اليوم التالي. لا تحتاج للتسرع للإلغاء؛ النظام يعالجه بانتهاء الصلاحية.

نسخة احتياطية مخترقة. إذا سُرقت نسختك الاحتياطية واستخرج المهاجم credential VPN، نفس القصة. المهاجم لديه ساعات، ليس أشهراً.

بنية تحتية مخترقة. إذا اختُرق خادم Fexyn بطريقة تكشف شهادته، التأثير محدود بعمر الشهادة المتبقي. ندوّر شهادات الخادم يومياً؛ الحالة الأسوأ نافذة 24 ساعة حيث يمكن انتحال شخصية خادم خبيث. نزاوج هذا مع certificate pinning على جانب العميل، الذي يلتقط الانتحال قبل أن يهم.

ما هذا ليس عليه

الشهادات قصيرة الأمد ليست بديلاً عن:

  • مصادقة حساب قوية. إذا تم تصيّد كلمة مرورك ودخل المهاجم إلى حساب Fexyn، يحصل على شهادات جديدة من API. عمر الشهادة لا يساعد. استخدم مدير كلمات مرور وفعّل MFA.
  • أمان نقطة النهاية. Laptop مخترق يمكن backdoored لتسريب بصمت كل شهادة في لحظة إصدارها. الـ PKI لا يصلح ذلك.
  • اختراق على مستوى الشبكة خارج النفق. إذا كان ISP خاصتك يفعل TLS interception مع CA الخاص به موثوق مسبقاً على جهازك، هذا هجوم مختلف وPKI الخاص بـ VPN تحت المستوى الذي يستطيع المساعدة فيه.

PKI يحدّ نمط فشل واحد محدد: credentials مسروقة تبقى مفيدة إلى أجل غير مسمى. هو تحسّن ذو معنى، ليس دفاعاً كاملاً.

لماذا لا يفعل أي VPN استهلاكي آخر هذا

ليس صعباً تقنياً. Vault PKI مفتوح المصدر. أتمتة بنمط ACME موثقة جيداً. السبب الذي يجعل معظم مزودي VPN يبقون مع شهادات طويلة الأمد تشغيلي:

  • الشهادات طويلة الأمد تعني حمل أقل على بنية PKI.
  • تعني أن العملاء يستطيعون الاتصال حتى لو كان PKI غير قابل للوصول لفترة وجيزة.
  • تعني تذاكر دعم أقل من "VPN خاصتي لا يتصل" بسبب تجديد فاسد.

هذه مخاوف حقيقية. حلها يتطلب بناء تدفق التجديد في العميل حتى يصبح غير مرئي. هذا عمل هندسي لا يعطيه فريق VPN العادي أولوية لأن نص التسويق لا يبيع على نظافة PKI.

Fexyn أعطاه أولوية لأنه فرق أمني ذو معنى للمستخدمين في مواقف عالية الخطورة: الصحفيين، الناشطين، العاملين عن بُعد الذين يتعاملون مع بيانات حساسة.

قراءة ذات صلة

جرّب Fexyn مجاناً لمدة 7 أيام — أول شهادة لك 24 ساعة، ولا تحتاج للتفكير فيها.

شهادات VPN قصيرة الأمد: لماذا 24 ساعة أفضل من 12 شهراً | Fexyn VPN