ፕሮሆስተር > ጦማር > አስተዳደር > አስተያየት አለ፡ የ DANE ቴክኖሎጂ ለአሳሾች ወድቋል

አስተያየት አለ፡ የ DANE ቴክኖሎጂ ለአሳሾች ወድቋል

ዲኤንኤስን በመጠቀም የጎራ ስሞችን ለማረጋገጥ የ DENE ቴክኖሎጂ ምን እንደሆነ እና ለምን በአሳሾች ውስጥ በስፋት ጥቅም ላይ እንደማይውል እንነጋገራለን ።

አስተያየት አለ፡ የ DANE ቴክኖሎጂ ለአሳሾች ወድቋል
/ ንቀል/ Paulius Dragunas

DANE ምንድን ነው?

የምስክር ወረቀት ባለስልጣኖች (ሲኤዎች) ድርጅቶች ናቸው። ተሰማርተዋል ምስጠራ የምስክር ወረቀት SSL ሰርተፊኬቶች. ትክክለኛነታቸውን በማረጋገጥ የኤሌክትሮኒክ ፊርማቸውን በላያቸው ላይ አደረጉ። ነገር ግን, አንዳንድ ጊዜ የምስክር ወረቀቶች ከተጣሱ ሁኔታዎች ጋር ይከሰታሉ. ለምሳሌ፣ ባለፈው ዓመት Google በስምምነት ምክንያት የሲማንቴክ ሰርተፍኬቶችን "የማመን ሂደት" ጀምሯል (ይህን ታሪክ በብሎግአችን ላይ በዝርዝር ሸፍነነዋል - ጊዜ и два).

እንደዚህ አይነት ሁኔታዎችን ለማስወገድ, ከብዙ አመታት በፊት IETF ማደግ ጀመረ DANE ቴክኖሎጂ (ነገር ግን በአሳሾች ውስጥ በሰፊው ጥቅም ላይ አይውልም - ይህ ለምን እንደተከሰተ በኋላ እንነጋገራለን).

DANE (በዲኤንኤስ ላይ የተመሰረተ የስም ህጋዊ አካላት ማረጋገጫ) የSSL የምስክር ወረቀቶችን ትክክለኛነት ለመቆጣጠር DNSSEC (ስም የስርዓት ደህንነት ቅጥያዎችን) ለመጠቀም የሚያስችል ዝርዝር መግለጫ ነው። DNSSEC የአድራሻ ማጭበርበር ጥቃቶችን የሚቀንስ የጎራ ስም ስርዓት ቅጥያ ነው። እነዚህን ሁለት ቴክኖሎጂዎች በመጠቀም ዌብማስተር ወይም ደንበኛ ከዲኤንኤስ ዞን ኦፕሬተሮች አንዱን ማግኘት እና ጥቅም ላይ የዋለውን የምስክር ወረቀት ትክክለኛነት ማረጋገጥ ይችላሉ።

በመሰረቱ፣ DANE እንደ በራሱ የተፈረመ ሰርተፍኬት ሆኖ ይሰራል (የአስተማማኙነቱ ዋስትና ዲኤንኤስኤስኢሲ ነው) እና የCA ተግባራትን ያሟላል።

ይህን ሥራ የሚያደርገው እንዴት ነው?

የ DANE ዝርዝር መግለጫ በ RFC6698. በሰነዱ መሠረት በ የዲ ኤን ኤስ ሀብቶች መዝገቦች አዲስ ዓይነት ታክሏል - TLSA. ስለ ሰርተፊኬቱ ስለመተላለፉ፣ የውሂብ መጠን እና አይነት ስለመተላለፉ፣ እንዲሁም ውሂቡ ራሱ መረጃን ይዟል። ዌብማስተር የምስክር ወረቀቱን ዲጂታል አውራ ጣት ይፈጥራል፣ በDNSSEC ይፈርማል እና በ TLSA ውስጥ ያስቀምጠዋል።

ደንበኛው ከበይነመረቡ ጋር ይገናኛል እና የምስክር ወረቀቱን ከዲ ኤን ኤስ ኦፕሬተር ከተቀበለው "ቅጂ" ጋር ያወዳድራል. የሚዛመዱ ከሆነ ሀብቱ እንደ ታማኝ ይቆጠራል።

የ DANE wiki ገጽ የሚከተለውን የዲኤንኤስ ጥያቄ በTCP ወደብ 443 ላይ ለ example.org ያቀርባል፡

IN TLSA _443._tcp.example.org

መልሱ ይህን ይመስላል።

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DNE ከ TLSA ሌላ ከዲኤንኤስ መዝገቦች ጋር የሚሰሩ በርካታ ቅጥያዎች አሉት። የመጀመሪያው በኤስኤስኤች ግንኙነቶች ላይ ቁልፎችን ለማረጋገጥ የ SSHFP ዲ ኤን ኤስ መዝገብ ነው። ውስጥ ተገልጿል RFC4255RFC6594 и RFC7479. ሁለተኛው ፒጂፒ (PGP) በመጠቀም ለቁልፍ ልውውጥ የOPENPGPKEY መግቢያ ነው።RFC7929). በመጨረሻም, ሦስተኛው የSMIMEA መዝገብ ነው (መስፈርቱ በ RFC ውስጥ መደበኛ አይደለም, አለ የእሱ ረቂቅ ብቻ) በS/MIME በኩል ለምስጢራዊ ቁልፍ ልውውጥ።

በ DANE ላይ ያለው ችግር ምንድን ነው?

በግንቦት ወር አጋማሽ ላይ የዲ ኤን ኤስ-ኦአርሲ ኮንፈረንስ ተካሂዷል (ይህ ለትርፍ ያልተቋቋመ ድርጅት ከደህንነት, መረጋጋት እና የጎራ ስም ስርዓት ልማት ጋር የተያያዘ ነው). በአንዱ ፓነሎች ላይ ባለሙያዎች የሚል መደምደሚያ ላይ ደርሰዋልያ የ DANE ቴክኖሎጂ በአሳሾች ውስጥ አልተሳካም (ቢያንስ አሁን ባለው ትግበራ)። በኮንፈረንሱ ላይ ያቅርቡ Geoff Huston, መሪ የምርምር ሳይንቲስት ኤፒኤንአይከአምስት የክልል የኢንተርኔት ሬጅስትራሮች አንዱ፣ በማለት ምላሽ ሰጥተዋል ስለ DANE እንደ "የሞተ ቴክኖሎጂ"

ታዋቂ አሳሾች DANE በመጠቀም የምስክር ወረቀት ማረጋገጥን አይደግፉም። በገበያ ላይ ልዩ ተሰኪዎች አሉ።የ TLSA መዝገቦችን ተግባራዊነት የሚገልጥ ነገር ግን ድጋፋቸውንም ጭምር ቀስ በቀስ ማቆም.

በአሳሾች ውስጥ በ DANE ስርጭት ላይ ያሉ ችግሮች ከDNSSEC ማረጋገጫ ሂደት ርዝመት ጋር የተቆራኙ ናቸው። ስርዓቱ የኤስ ኤስ ኤል ሰርተፍኬት ትክክለኛነት ለማረጋገጥ ክሪፕቶግራፊክ ስሌቶችን ለመስራት ይገደዳል እና መጀመሪያ ከንብረት ጋር ሲገናኙ በጠቅላላ የዲኤንኤስ አገልጋዮች (ከስር ዞን እስከ አስተናጋጅ ጎራ) ውስጥ ለማለፍ ይገደዳል።

አስተያየት አለ፡ የ DANE ቴክኖሎጂ ለአሳሾች ወድቋል
/ ንቀል/ Kaley Dykstra

ሞዚላ ዘዴውን በመጠቀም ይህንን ችግር ለማስወገድ ሞክሯል DNSSEC ሰንሰለት ቅጥያ ለTLS. በማረጋገጫው ወቅት ደንበኛው መፈለግ ያለበትን የዲ ኤን ኤስ መዝገቦችን ቁጥር መቀነስ ነበረበት። ይሁን እንጂ በልማት ቡድን ውስጥ ሊፈቱ ያልቻሉ አለመግባባቶች ተፈጠሩ። በውጤቱም, ፕሮጀክቱ በመጋቢት 2018 በ IETF ተቀባይነት ቢኖረውም, ተትቷል.

ሌላው የ DANE ተወዳጅነት ዝቅተኛነት በዓለም ላይ ያለው የDNSSEC ዝቅተኛ ስርጭት ነው - 19% የሚሆኑት ሀብቶች ከእሱ ጋር አብረው ይሰራሉ. ይህ ዳንን በንቃት ለማስተዋወቅ በቂ እንዳልሆነ ባለሙያዎች ተሰምቷቸው ነበር።

ምናልባትም, ኢንዱስትሪው በተለየ አቅጣጫ ያድጋል. የSSL/TLS ሰርተፊኬቶችን ለማረጋገጥ ዲ ኤን ኤስ ከመጠቀም ይልቅ፣ የገበያ ተጫዋቾች በምትኩ DNS-over-TLS (DoT) እና DNS-over-HTTPS (DoH) ፕሮቶኮሎችን ያስተዋውቃሉ። የኋለኛውን በአንደኛው ውስጥ ጠቅሰነዋል የቀድሞ ቁሳቁሶች ሀበሬ ላይ። የተጠቃሚ ጥያቄዎችን ወደ ዲ ኤን ኤስ አገልጋይ ያመሰጥሩ እና ያረጋግጣሉ፣ ይህም አጥቂዎች መረጃን እንዳያበላሹ ይከለክላሉ። በዓመቱ መጀመሪያ ላይ DoT አስቀድሞ ነበር። ተተግብሯል ለ Google ይፋዊ ዲኤንኤስ። ዳንን በተመለከተ፣ ቴክኖሎጂው "ወደ ኮርቻው መመለስ" ይችል እንደሆነ እና አሁንም በስፋት ተስፋፍቷል ወደፊት የሚታይ ነገር ይኖራል።

ለበለጠ ንባብ ሌላ ምን አለን

አስተያየት አለ፡ የ DANE ቴክኖሎጂ ለአሳሾች ወድቋል የአይቲ መሠረተ ልማት አስተዳደርን እንዴት በራስ-ሰር ማድረግ እንደሚቻል - ስለ ሶስት አዝማሚያዎች መወያየት
አስተያየት አለ፡ የ DANE ቴክኖሎጂ ለአሳሾች ወድቋል JMAP - ኢሜይሎችን በሚለዋወጡበት ጊዜ IMAPን የሚተካ ክፍት ፕሮቶኮል

አስተያየት አለ፡ የ DANE ቴክኖሎጂ ለአሳሾች ወድቋል በመተግበሪያ ፕሮግራሚንግ በይነገጽ እንዴት መቆጠብ እንደሚቻል
አስተያየት አለ፡ የ DANE ቴክኖሎጂ ለአሳሾች ወድቋል የ 1cloud.ru ምሳሌን በመጠቀም DevOps በደመና አገልግሎት ውስጥ
አስተያየት አለ፡ የ DANE ቴክኖሎጂ ለአሳሾች ወድቋል የደመና ሥነ ሕንፃ ዝግመተ ለውጥ 1 ደመና

አስተያየት አለ፡ የ DANE ቴክኖሎጂ ለአሳሾች ወድቋል 1Cloud የቴክኒክ ድጋፍ እንዴት ይሰራል?
አስተያየት አለ፡ የ DANE ቴክኖሎጂ ለአሳሾች ወድቋል የደመና አፈ ታሪኮች

ምንጭ: hab.com

አስተያየት ያክሉ