Rydyn ni'n siarad am beth yw technoleg DANE ar gyfer dilysu enwau parth gan ddefnyddio DNS a pham nad yw'n cael ei ddefnyddio'n eang mewn porwyr.
/Tad-sblash/
Beth yw DANE
Mae Awdurdodau Ardystio (CAs) yn sefydliadau sy'n tystysgrif cryptograffig . Maent yn rhoi eu llofnod electronig arnynt, gan gadarnhau eu dilysrwydd. Fodd bynnag, weithiau bydd sefyllfaoedd yn codi pan fydd tystysgrifau'n cael eu cyhoeddi gyda throseddau. Er enghraifft, y llynedd cychwynnodd Google “gweithdrefn ddiffyg ymddiriedaeth” ar gyfer tystysgrifau Symantec oherwydd eu cyfaddawd (fe wnaethom ymdrin â'r stori hon yn fanwl yn ein blog - и ).
Er mwyn osgoi sefyllfaoedd o'r fath, sawl blwyddyn yn ôl y IETF Technoleg DANE (ond nid yw'n cael ei defnyddio'n eang mewn porwyr - byddwn yn siarad am pam y digwyddodd hyn yn nes ymlaen).
Mae DANE (Dilysu Endidau a Enwir yn seiliedig ar DNS) yn set o fanylebau sy'n eich galluogi i ddefnyddio DNSSEC (Enw Estyniadau Diogelwch System) i reoli dilysrwydd tystysgrifau SSL. Mae DNSSEC yn estyniad i'r System Enw Parth sy'n lleihau ymosodiadau ffugio cyfeiriad. Gan ddefnyddio'r ddwy dechnoleg hyn, gall gwefeistr neu gleient gysylltu ag un o'r gweithredwyr parth DNS a chadarnhau dilysrwydd y dystysgrif sy'n cael ei defnyddio.
Yn y bôn, mae DANE yn gweithredu fel tystysgrif hunan-lofnodedig (gwarantwr ei ddibynadwyedd yw DNSSEC) ac mae'n ategu swyddogaethau CA.
Sut mae hwn
Disgrifir manyleb DANE yn . Yn ôl y ddogfen, yn ychwanegwyd math newydd - TLSA. Mae'n cynnwys gwybodaeth am y dystysgrif sy'n cael ei throsglwyddo, maint a math y data sy'n cael ei drosglwyddo, yn ogystal â'r data ei hun. Mae'r gwefeistr yn creu bawd bawd digidol o'r dystysgrif, yn ei llofnodi gyda DNSSEC, ac yn ei gosod yn y TLSA.
Mae'r cleient yn cysylltu â gwefan ar y Rhyngrwyd ac yn cymharu ei dystysgrif â'r “copi” a dderbyniwyd gan y gweithredwr DNS. Os ydynt yn cyfateb, yna ystyrir bod yr adnodd yn ymddiried ynddo.
Mae tudalen wiki DANE yn darparu'r enghraifft ganlynol o gais DNS i example.org ar borthladd TCP 443:
IN TLSA _443._tcp.example.orgMae'r ateb yn edrych fel hyn:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
Mae gan DANE sawl estyniad sy'n gweithio gyda chofnodion DNS heblaw TLSA. Y cyntaf yw cofnod DNS SSHFP ar gyfer dilysu allweddi ar gysylltiadau SSH. Fe'i disgrifir yn , и . Yr ail yw'r cofnod OPENPGPKEY ar gyfer cyfnewid allweddi gan ddefnyddio PGP (). Yn olaf, y trydydd yw'r cofnod SMIMEA (nid yw'r safon wedi'i ffurfioli yn y Clwb Rygbi, mae yna ) ar gyfer cyfnewid allweddi cryptograffig trwy S/MIME.
Beth yw'r broblem gyda DANE
Ganol mis Mai, cynhaliwyd cynhadledd DNS-OARC (mae hwn yn sefydliad dielw sy'n delio â diogelwch, sefydlogrwydd a datblygiad y system enw parth). Arbenigwyr ar un o'r paneli bod technoleg DANE mewn porwyr wedi methu (o leiaf yn ei weithrediad presennol). Yn bresennol yn y gynhadledd Geoff Huston, Gwyddonydd Ymchwil Arweiniol , un o bum cofrestrydd Rhyngrwyd rhanbarthol, am DANE fel “technoleg marw”.
Nid yw porwyr poblogaidd yn cefnogi dilysu tystysgrifau gan ddefnyddio DANE. Ar y farchnad , sy'n datgelu ymarferoldeb cofnodion TLSA, ond hefyd eu cefnogaeth .
Mae problemau gyda dosbarthiad DANE mewn porwyr yn gysylltiedig â hyd y broses ddilysu DNSSEC. Gorfodir y system i wneud cyfrifiadau cryptograffig i gadarnhau dilysrwydd y dystysgrif SSL a mynd trwy'r gadwyn gyfan o weinyddion DNS (o'r parth gwraidd i'r parth gwesteiwr) wrth gysylltu ag adnodd am y tro cyntaf.
/Tad-sblash/
Ceisiodd Mozilla ddileu'r anfantais hon gan ddefnyddio'r mecanwaith ar gyfer TLS. Roedd i fod i leihau nifer y cofnodion DNS y bu'n rhaid i'r cleient edrych arnynt yn ystod y dilysu. Fodd bynnag, cododd anghytundebau o fewn y grŵp datblygu na ellid eu datrys. O ganlyniad, rhoddwyd y gorau i’r prosiect, er iddo gael ei gymeradwyo gan yr IETF ym mis Mawrth 2018.
Rheswm arall dros boblogrwydd isel DANE yw mynychder isel DNSSEC yn y byd - . Teimlai arbenigwyr nad oedd hyn yn ddigon i hyrwyddo DANE yn weithredol.
Yn fwyaf tebygol, bydd y diwydiant yn datblygu i gyfeiriad gwahanol. Yn lle defnyddio DNS i wirio tystysgrifau SSL / TLS, bydd chwaraewyr y farchnad yn lle hynny yn hyrwyddo protocolau DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH). Crybwyllasom yr olaf yn un o'n ar Habré. Maent yn amgryptio ac yn gwirio ceisiadau defnyddwyr i'r gweinydd DNS, gan atal ymosodwyr rhag ffugio data. Ar ddechrau'r flwyddyn, roedd DoT eisoes i Google am ei DNS Cyhoeddus. O ran DANE, mae angen gweld a fydd y dechnoleg yn gallu “mynd yn ôl i'r cyfrwy” a dal i ddod yn eang yn y dyfodol.
Beth arall sydd gennym ar gyfer darllen pellach:
Ffynhonnell: hab.com