DNS erabiliz domeinu-izenak autentifikatzeko DANE teknologia zer den eta zergatik ez den oso erabilia nabigatzaileetan hitz egiten dugu.
/Desagerrarazi/
Zer da DANE
Ziurtapen Agintaritzak (CA) erakundeak dira ziurtagiri kriptografikoa . Euren sinadura elektronikoa jarri zieten, haien benetakotasuna baieztatuz. Hala ere, batzuetan egoerak sortzen dira ziurtagiriak arau-hausteekin ematen direnean. Esaterako, iaz Google-k Symantec-en ziurtagirietarako "deskonfiantza-prozedura" hasi zuen haien konpromisoa dela eta (istorio hau zehatz-mehatz landu dugu gure blogean - ΠΈ ).
Horrelako egoerak saihesteko, duela urte batzuk IETFk DANE teknologia (baina ez da oso erabilia nabigatzaileetan - geroago hitz egingo dugu zergatik gertatu den).
DANE (DNS-en oinarritutako Authentication of Named Entities) DNSSEC (Name System Security Extensions) erabiltzeko aukera ematen duen zehaztapen multzo bat da, SSL ziurtagirien baliozkotasuna kontrolatzeko. DNSSEC helbideak faltifikatzeko erasoak gutxitzen dituen Domeinu Izen Sistemarako luzapena da. Bi teknologia hauek erabiliz, web-arduradun edo bezero batek DNS guneko operadoreetako batekin harremanetan jar daiteke eta erabiltzen ari den ziurtagiriaren baliozkotasuna berretsi.
Funtsean, DANEk autosinatutako ziurtagiri gisa jokatzen du (bere fidagarritasunaren bermea DNSSEC da) eta CA baten funtzioak osatzen ditu.
Nola egiten du lan
DANE zehaztapena atalean deskribatzen da . Dokumentuaren arabera, urtean mota berri bat gehitu zen - TLSA. Transferitzen ari den ziurtagiriari, transferitzen diren datuen tamainari eta motari buruzko informazioa jasotzen du, baita datuak bera ere. Web-arduradunak ziurtagiriaren aztarna digitala sortzen du, DNSSEC-ekin sinatzen du eta TLSAn jartzen du.
Bezeroa Interneteko gune batera konektatzen da eta bere ziurtagiria DNS operadorearengandik jasotako "kopiarekin" konparatzen du. Bat badatoz, baliabidea fidagarritzat jotzen da.
DANE wiki orriak DNS eskaeraren adibide hau eskaintzen du example.org-i TCP 443 atakan:
IN TLSA _443._tcp.example.orgErantzuna honelakoa da:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANEk TLSA ez den DNS erregistroekin funtzionatzen duten hainbat luzapen ditu. Lehenengoa SSHFP DNS erregistroa da SSH konexioetan gakoak balioztatzeko. urtean deskribatzen da , ΠΈ . Bigarrena OPENPGPKEY sarrera da PGP erabiliz gakoak trukatzeko (). Azkenik, hirugarrena SMIMEA erregistroa da (estandarra ez dago RFCan formalizatuta, badago ) S/MIME bidez gako kriptografikoak trukatzeko.
Zein da DANEren arazoa
Maiatzaren erdialdean DNS-OARC jardunaldia egin zen (domeinu-izen sistemaren segurtasuna, egonkortasuna eta garapena lantzen dituen irabazi asmorik gabeko erakundea da). Paneletako batean adituak nabigatzaileetan DANE teknologiak huts egin duela (egungo inplementazioan behintzat). Geoff Huston hitzaldian aurkeztu da, Ikerketa Zientzialari Nagusia , Interneteko eskualdeko bost erregistratzaileetako bat, DANEri buruz βhildako teknologiaβ gisa.
Arakatzaile ezagunek ez dute onartzen DANE erabiliz ziurtagirien autentifikazioa. Merkatuan , TLSA erregistroen funtzionaltasuna agerian uzten dutenak, baina baita haien euskarria ere .
Arakatzaileetan DANE banaketaren arazoak DNSSEC baliozkotze-prozesuaren iraupenarekin lotuta daude. Sistema kalkulu kriptografikoak egitera behartuta dago SSL ziurtagiriaren benetakotasuna berresteko eta DNS zerbitzarien kate osoa zeharkatu (errotik hasi eta ostalariaren domeinuraino) baliabide batera lehen aldiz konektatzean.
/Desagerrarazi/
Mozilla eragozpen hori kentzen saiatu zen mekanismoa erabiliz TLSrako. Bezeroak autentifikazioan bilatu behar zituen DNS erregistroen kopurua murriztu behar zen. Hala ere, garapen-taldearen baitan desadostasunak sortu ziren, konpondu ezin izan zirenak. Ondorioz, proiektua bertan behera geratu zen, IETFk 2018ko martxoan onartu zuen arren.
DANEren ospe baxuaren beste arrazoi bat munduan DNSSEC-en prebalentzia baxua da - . Adituek uste zuten hori ez zela nahikoa DANE aktiboki sustatzeko.
Seguruenik, industria beste norabide batean garatuko da. SSL/TLS ziurtagiriak egiaztatzeko DNS erabili beharrean, merkatuko jokalariek DNS-over-TLS (DoT) eta DNS-over-HTTPS (DoH) protokoloak sustatuko dituzte. Azken hau gure batean aipatu dugu HabrΓ©-n. DNS zerbitzariari erabiltzaileen eskaerak zifratzen eta egiaztatzen dituzte, erasotzaileek datuak faltseatzea eragotziz. Urte hasieran, DoT zegoen jada Google-ri bere DNS publikoagatik. DANEri dagokionez, teknologiak "berriro sartzea" eta oraindik hedatu ahal izango ote duen etorkizunean ikusteko dago.
Zer gehiago irakurtzeko daukagu:
Iturria: www.habr.com