একটি মতামত আছে: ব্রাউজারগুলির জন্য DANE প্রযুক্তি ব্যর্থ হয়েছে

আমরা DNS ব্যবহার করে ডোমেন নাম প্রমাণীকরণের জন্য DANE প্রযুক্তি কী এবং কেন এটি ব্রাউজারে ব্যাপকভাবে ব্যবহৃত হয় না সে সম্পর্কে কথা বলি।

/আনস্প্ল্যাশ/ পলিয়াস ড্রাগুনাস

DANE কি

সার্টিফিকেশন অথরিটিস (CAs) হল এমন প্রতিষ্ঠান যা নিযুক্ত হয় ক্রিপ্টোগ্রাফিক শংসাপত্র SSL সার্টিফিকেট. তারা তাদের ইলেকট্রনিক স্বাক্ষর রাখে, তাদের সত্যতা নিশ্চিত করে। যাইহোক, কখনও কখনও পরিস্থিতি দেখা দেয় যখন লঙ্ঘন সহ সার্টিফিকেট জারি করা হয়। উদাহরণস্বরূপ, গত বছর গুগল তাদের আপস করার কারণে সিম্যানটেক শংসাপত্রগুলির জন্য একটি "বিশ্বাসের প্রক্রিয়া" শুরু করেছিল (আমরা আমাদের ব্লগে এই গল্পটি বিস্তারিতভাবে কভার করেছি - সময় и два).

এমন পরিস্থিতি এড়াতে বেশ কয়েক বছর আগে আই.ই.টি.এফ বিকাশ শুরু করে DANE প্রযুক্তি (তবে এটি ব্রাউজারে ব্যাপকভাবে ব্যবহৃত হয় না - কেন এটি ঘটেছে তা আমরা পরে আলোচনা করব)।

DANE (নামিত সত্তার DNS-ভিত্তিক প্রমাণীকরণ) হল স্পেসিফিকেশনের একটি সেট যা আপনাকে SSL সার্টিফিকেটের বৈধতা নিয়ন্ত্রণ করতে DNSSEC (নাম সিস্টেম নিরাপত্তা এক্সটেনশন) ব্যবহার করতে দেয়। DNSSEC হল ডোমেইন নেম সিস্টেমের একটি এক্সটেনশন যা অ্যাড্রেস স্পুফিং আক্রমণ কমিয়ে দেয়। এই দুটি প্রযুক্তি ব্যবহার করে, একজন ওয়েবমাস্টার বা ক্লায়েন্ট DNS জোন অপারেটরদের একজনের সাথে যোগাযোগ করতে পারেন এবং শংসাপত্রের বৈধতা নিশ্চিত করতে পারেন।

মূলত, DANE একটি স্ব-স্বাক্ষরিত শংসাপত্র হিসাবে কাজ করে (এর নির্ভরযোগ্যতার গ্যারান্টার হল DNSSEC) এবং একটি CA-এর কাজগুলিকে পরিপূরক করে৷

এগুলো কিভাবে কাজ করে

DANE স্পেসিফিকেশন বর্ণনা করা হয়েছে RFC6698. নথি অনুযায়ী, ইন DNS সম্পদ রেকর্ড একটি নতুন প্রকার যোগ করা হয়েছে - TLSA। এটিতে শংসাপত্র স্থানান্তরিত হচ্ছে, স্থানান্তরিত ডেটার আকার এবং প্রকার, সেইসাথে ডেটা নিজেই রয়েছে। ওয়েবমাস্টার শংসাপত্রের একটি ডিজিটাল থাম্বপ্রিন্ট তৈরি করে, এটি DNSSEC-এর সাথে স্বাক্ষর করে এবং এটি TLSA-তে রাখে।

ক্লায়েন্ট ইন্টারনেটে একটি সাইটের সাথে সংযোগ করে এবং DNS অপারেটর থেকে প্রাপ্ত "কপি" এর সাথে তার শংসাপত্রের তুলনা করে। যদি তারা মেলে, তাহলে সম্পদ বিশ্বস্ত বলে বিবেচিত হয়।

DANE উইকি পৃষ্ঠাটি TCP পোর্ট 443-এ example.org-এ একটি DNS অনুরোধের নিম্নলিখিত উদাহরণ প্রদান করে:

IN TLSA _443._tcp.example.org

উত্তর এই মত দেখায়:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE-এর বেশ কয়েকটি এক্সটেনশন রয়েছে যা TLSA ছাড়া অন্য DNS রেকর্ডের সাথে কাজ করে। প্রথমটি হল SSH সংযোগে কী যাচাই করার জন্য SSHFP DNS রেকর্ড। এটি বর্ণনা করা হয়েছে RFC4255, RFC6594 и RFC7479. দ্বিতীয়টি হল PGP ব্যবহার করে কী বিনিময়ের জন্য OPENPGPKEY এন্ট্রি (RFC7929) অবশেষে, তৃতীয়টি হল SMIMEA রেকর্ড (মানটি আরএফসিতে আনুষ্ঠানিক নয়, আছে শুধুমাত্র এটির একটি খসড়া) S/MIME এর মাধ্যমে ক্রিপ্টোগ্রাফিক কী বিনিময়ের জন্য।

DANE এর সমস্যা কি

মে মাসের মাঝামাঝি সময়ে, DNS-OARC সম্মেলন অনুষ্ঠিত হয়েছিল (এটি একটি অলাভজনক সংস্থা যা ডোমেন নাম সিস্টেমের নিরাপত্তা, স্থিতিশীলতা এবং উন্নয়ন নিয়ে কাজ করে)। প্যানেলের একটিতে বিশেষজ্ঞরা উপসংহারে এসেছেনব্রাউজারে DANE প্রযুক্তি ব্যর্থ হয়েছে (অন্তত তার বর্তমান বাস্তবায়নে)। সম্মেলনে উপস্থিত ছিলেন লিডিং রিসার্চ সায়েন্টিস্ট জিওফ হুস্টন এপনিক, পাঁচটি আঞ্চলিক ইন্টারনেট নিবন্ধকের একজন, প্রতিক্রিয়া একটি "মৃত প্রযুক্তি" হিসাবে DANE সম্পর্কে।

জনপ্রিয় ব্রাউজার DANE ব্যবহার করে সার্টিফিকেট প্রমাণীকরণ সমর্থন করে না। বাজারে বিশেষ প্লাগইন আছে, যা TLSA রেকর্ডের কার্যকারিতা প্রকাশ করে, কিন্তু তাদের সমর্থনও ধীরে ধীরে বন্ধ.

ব্রাউজারে DANE বিতরণের সমস্যাগুলি DNSSEC বৈধতা প্রক্রিয়ার দৈর্ঘ্যের সাথে যুক্ত। সিস্টেমটিকে SSL সার্টিফিকেটের সত্যতা নিশ্চিত করার জন্য ক্রিপ্টোগ্রাফিক গণনা করতে বাধ্য করা হয় এবং প্রথম কোনো সম্পদের সাথে সংযোগ করার সময় DNS সার্ভারের (রুট জোন থেকে হোস্ট ডোমেন পর্যন্ত) সমগ্র চেইনের মধ্য দিয়ে যেতে হয়।

/আনস্প্ল্যাশ/ ক্যালে ডিকস্ট্রা

মোজিলা মেকানিজম ব্যবহার করে এই ত্রুটি দূর করার চেষ্টা করেছে DNSSEC চেইন এক্সটেনশন TLS এর জন্য। এটি প্রমাণীকরণের সময় ক্লায়েন্টকে যে DNS রেকর্ডগুলি সন্ধান করতে হয়েছিল তার সংখ্যা হ্রাস করার কথা ছিল। তবে উন্নয়ন গ্রুপের মধ্যে মতানৈক্য দেখা দেয় যা সমাধান করা যায়নি। ফলস্বরূপ, প্রকল্পটি পরিত্যক্ত হয়েছিল, যদিও এটি মার্চ 2018 সালে IETF দ্বারা অনুমোদিত হয়েছিল।

DANE-এর কম জনপ্রিয়তার আরেকটি কারণ হল বিশ্বে DNSSEC-এর কম প্রচলন - সম্পদের মাত্র 19% এটির সাথে কাজ করে. বিশেষজ্ঞরা মনে করেন যে এটি সক্রিয়ভাবে DANE প্রচারের জন্য যথেষ্ট নয়।

সম্ভবত, শিল্প একটি ভিন্ন দিকে বিকশিত হবে। SSL/TLS সার্টিফিকেট যাচাই করার জন্য DNS ব্যবহার করার পরিবর্তে, মার্কেট প্লেয়াররা DNS-ওভার-TLS (DoT) এবং DNS-ওভার-HTTPS (DoH) প্রোটোকল প্রচার করবে। আমরা আমাদের একটিতে পরেরটি উল্লেখ করেছি পূর্ববর্তী উপকরণ হাবরে তারা এনক্রিপ্ট করে এবং DNS সার্ভারে ব্যবহারকারীর অনুরোধ যাচাই করে, আক্রমণকারীদের ডেটা স্পুফিং থেকে আটকায়। বছরের শুরুতে ইতিমধ্যেই ড.টি বাস্তবায়িত Google এর পাবলিক DNS এর জন্য। DANE-এর ক্ষেত্রে, প্রযুক্তিটি "স্যাডলে ফিরে যেতে" সক্ষম হবে কিনা এবং এখনও ব্যাপক হয়ে উঠবে কিনা তা ভবিষ্যতে দেখা বাকি রয়েছে।

আরও পড়ার জন্য আমাদের আর কি আছে:

কিভাবে স্বয়ংক্রিয়ভাবে আইটি অবকাঠামো ব্যবস্থাপনা - তিনটি প্রবণতা আলোচনা
JMAP - একটি উন্মুক্ত প্রোটোকল যা ইমেল বিনিময় করার সময় IMAP প্রতিস্থাপন করবে

একটি অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস দিয়ে কীভাবে সংরক্ষণ করবেন
1cloud.ru এর উদাহরণ ব্যবহার করে একটি ক্লাউড পরিষেবাতে DevOps
ক্লাউড আর্কিটেকচারের বিবর্তন 1ক্লাউড

1ক্লাউড প্রযুক্তিগত সহায়তা কিভাবে কাজ করে?
ক্লাউড প্রযুক্তি সম্পর্কে মিথ

উত্স: www.habr.com