Naghisgot kami kung unsa ang teknolohiya sa DANE alang sa pag-authenticate sa mga ngalan sa domain gamit ang DNS ug kung ngano nga dili kini kaylap nga gigamit sa mga browser.
/Unsplash/
Unsa ang DANE
Ang mga Awtoridad sa Sertipikasyon (CA) mga organisasyon nga cryptographic nga sertipiko . Ilang gibutang ang ilang elektronik nga pirma niini, nga nagpamatuod sa ilang pagkatinuod. Bisan pa, usahay motungha ang mga sitwasyon kung ang mga sertipiko gihatag nga adunay mga paglapas. Pananglitan, sa miaging tuig gipasiugdahan sa Google ang usa ka "pamaagi sa pagsalikway" alang sa mga sertipiko sa Symantec tungod sa ilang pagkompromiso (gitabonan namon kini nga istorya sa detalye sa among blog - ΠΈ ).
Aron malikayan ang ingon nga mga sitwasyon, pipila ka tuig ang milabay ang IETF Ang teknolohiya sa DANE (apan dili kini kaylap nga gigamit sa mga browser - atong hisgutan kung nganong nahitabo kini sa ulahi).
Ang DANE (DNS-based Authentication of Named Entities) usa ka hugpong sa mga espesipikasyon nga nagtugot kanimo sa paggamit sa DNSSEC (Name System Security Extensions) aron makontrol ang pagkabalido sa mga sertipiko sa SSL. Ang DNSSEC usa ka extension sa Domain Name System nga nagpamenos sa mga pag-atake sa pagpanglimbong sa address. Gamit kining duha ka teknolohiya, ang usa ka webmaster o kliyente mahimong makontak sa usa sa mga operator sa DNS zone ug makumpirma ang kabalido sa sertipiko nga gigamit.
Sa tinuud, ang DANE naglihok isip usa ka gipirmahan sa kaugalingon nga sertipiko (ang garantiya sa kasaligan niini mao ang DNSSEC) ug nagsuporta sa mga gimbuhaton sa usa ka CA.
Unsa nga paagi nga kini nga buhat
Ang detalye sa DANE gihulagway sa . Sumala sa dokumento, sa usa ka bag-ong tipo ang gidugang - TLSA. Naglangkob kini sa kasayuran bahin sa gibalhin nga sertipiko, ang gidak-on ug tipo sa datos nga gibalhin, ingon man ang datos mismo. Ang webmaster nagmugna ug digital thumbprint sa sertipiko, gipirmahan kini sa DNSSEC, ug gibutang kini sa TLSA.
Ang kliyente nagkonektar sa usa ka site sa Internet ug nagtandi sa sertipiko niini sa "kopya" nga nadawat gikan sa DNS operator. Kung sila magkatugma, nan ang kapanguhaan giisip nga kasaligan.
Ang panid sa wiki sa DANE naghatag sa mosunod nga pananglitan sa hangyo sa DNS sa example.org sa TCP port 443:
IN TLSA _443._tcp.example.orgAng tubag ingon niini:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
Ang DANE adunay daghang mga extension nga nagtrabaho sa mga rekord sa DNS gawas sa TLSA. Ang una mao ang SSHFP DNS record alang sa pag-validate sa mga yawe sa mga koneksyon sa SSH. Kini gihulagway sa , ΠΈ . Ang ikaduha mao ang OPENPGPKEY entry alang sa key exchange gamit ang PGP (). Sa katapusan, ang ikatulo mao ang rekord sa SMIMEA (ang sumbanan dili pormal sa RFC, adunay ) para sa cryptographic key exchange pinaagi sa S/MIME.
Unsay problema ni DANE
Sa tunga-tunga sa Mayo, ang DNS-OARC nga komperensya gihimo (kini usa ka non-profit nga organisasyon nga naghisgot sa seguridad, kalig-on ug pagpalambo sa sistema sa ngalan sa domain). Mga eksperto sa usa sa mga panel nga ang teknolohiya sa DANE sa mga browser napakyas (labing menos sa kasamtangan nga pagpatuman niini). Present sa komperensya nga si Geoff Huston, Nanguna nga Siyentista sa Pagpanukiduki , usa sa lima ka regional Internet registrar, mahitungod sa DANE isip usa ka "patay nga teknolohiya".
Ang mga sikat nga browser wala nagsuporta sa pag-authenticate sa sertipiko gamit ang DANE. Sa merkado , nga nagpadayag sa pagpaandar sa mga rekord sa TLSA, apan usab sa ilang suporta .
Ang mga problema sa pag-apod-apod sa DANE sa mga browser nalangkit sa gitas-on sa proseso sa pag-validate sa DNSSEC. Ang sistema napugos sa paghimo sa cryptographic kalkulasyon sa pagmatuod sa pagkatinuod sa SSL certificate ug moagi sa tibuok kadena sa DNS servers (gikan sa gamut zone ngadto sa host domain) sa diha nga ang unang pagkonektar sa usa ka kapanguhaan.
/Unsplash/
Gisulayan ni Mozilla nga wagtangon kini nga disbentaha gamit ang mekanismo para sa TLS. Gikunhuran unta ang gidaghanon sa mga rekord sa DNS nga kinahanglan pangitaon sa kliyente sa panahon sa pag-authenticate. Bisan pa, ang mga dili pagsinabtanay mitumaw sulod sa grupo sa pagpalambo nga dili masulbad. Ingon usa ka sangputanan, ang proyekto gibiyaan, bisan kung kini giaprobahan sa IETF kaniadtong Marso 2018.
Ang laing rason sa ubos nga pagkapopular sa DANE mao ang ubos nga pagkaylap sa DNSSEC sa kalibutan - . Gibati sa mga eksperto nga dili kini igo aron aktibo nga ipasiugda ang DANE.
Lagmit, ang industriya molambo sa laing direksyon. Imbis nga gamiton ang DNS aron mapamatud-an ang mga sertipiko sa SSL/TLS, ang mga magdudula sa merkado magpasiugda hinuon sa DNS-over-TLS (DoT) ug DNS-over-HTTPS (DoH) nga mga protocol. Among gihisgotan ang ulahi sa usa sa among sa HabrΓ©. Gi-encrypt ug gi-verify nila ang mga hangyo sa user sa DNS server, nga gipugngan ang mga tig-atake sa pagpanglimbong sa datos. Sa pagsugod sa tuig, DoT na sa Google alang sa Public DNS niini. Sama sa alang sa DANE, kung ang teknolohiya mahimo ba nga "makabalik sa saddle" ug mahimo pa nga kaylap nagpabilin nga makita sa umaabot.
Unsa pa ang naa kanato alang sa dugang nga pagbasa:
Source: www.habr.com