Labhraímid faoi cad é teicneolaíocht DANE chun ainmneacha fearainn a fhíordheimhniú ag baint úsáide as DNS agus cén fáth nach n-úsáidtear go forleathan é i mbrabhsálaithe.
/Dísplash/
Cad é DANE
Is eagraíochtaí iad Údaráis Deimhniúcháin (CAanna) a dhéanann deimhniú cripteagrafach . Chuir siad a síniú leictreonach orthu, ag deimhniú a bharántúlachta. Tarlaíonn cásanna, áfach, nuair a eisítear deimhnithe le sáruithe. Mar shampla, an bhliain seo caite chuir Google tús le “nós imeachta detrust” le haghaidh deimhnithe Symantec mar gheall ar a gcomhréiteach (chlúdaigh muid an scéal seo go mion inár mblag - и ).
Chun cásanna den sórt sin a sheachaint, roinnt blianta ó shin an IETF Teicneolaíocht DANE (ach ní úsáidtear go forleathan é i mbrabhsálaithe - labhróimid cén fáth ar tharla sé seo níos déanaí).
Is sraith sonraíochtaí é DANE (DNS-bhunaithe Fíordheimhniú Aonáin Ainmnithe) a ligeann duit DNSSEC (Eisínteachtaí Slándála an Chórais Ainmnigh) a úsáid chun bailíocht teastais SSL a rialú. Is síneadh é DNSSEC ar an gCóras Ainm Fearainn a íoslaghdaíonn ionsaithe spoofing seoltaí. Ag baint úsáide as an dá theicneolaíocht seo, is féidir le stiúrthóir gréasáin nó le cliant teagmháil a dhéanamh le ceann de na hoibreoirí crios DNS agus bailíocht an deimhnithe atá á úsáid a dhearbhú.
Go bunúsach, feidhmíonn DANE mar dheimhniú féin-shínithe (is é DNSSEC ráthóir a iontaofachta) agus comhlánaíonn sé feidhmeanna ÚD.
Conas a oibríonn seo
Tá cur síos ar shonraíocht DANE i . De réir an doiciméid, i cuireadh cineál nua leis - TLSA. Tá faisnéis ann maidir leis an deimhniú atá á aistriú, méid agus cineál na sonraí atá á n-aistriú, chomh maith leis na sonraí féin. Cruthaíonn an stiúrthóir gréasáin ordóg digiteach den teastas, síníonn sé le DNSSEC é, agus cuireann sé sa TLSA é.
Ceanglaíonn an cliant le suíomh ar an Idirlíon agus cuireann sé a dheimhniú i gcomparáid leis an “cóip” a fhaightear ón oibreoir DNS. Má mheaitseálann siad, ansin meastar go bhfuil muinín san acmhainn.
Soláthraíonn leathanach vicí DANE an sampla seo a leanas d’iarratas DNS chuig example.org ar phort TCP 443:
IN TLSA _443._tcp.example.orgBreathnaíonn an freagra mar seo:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
Tá roinnt síntí ag DANE a oibríonn le taifid DNS seachas TLSA. Is é an chéad cheann taifead DNS SSHFP chun eochracha a bhailíochtú ar naisc SSH. Déantar cur síos air i , и . Is é an dara ceann an iontráil OPENPGPKEY do mhalartú eochair ag baint úsáide as PGP (). Ar deireadh, is é an tríú taifead SMIMEA (níl an caighdeán foirmiúil sa RFC, tá ) le haghaidh malartú eochrach cripteagrafach trí S/MIME.
Cad é an fhadhb le DANE
I lár mhí na Bealtaine, tionóladh comhdháil DNS-OARC (eagraíocht neamhbhrabúis é seo a dhéileálann le slándáil, cobhsaíocht agus forbairt an chórais ainmneacha fearainn). Saineolaithe ar cheann de na painéil gur theip ar theicneolaíocht DANE i mbrabhsálaithe (ar a laghad ina cur i bhfeidhm reatha). I láthair ag an gcomhdháil Geoff Huston, Príomheolaí Taighde , duine de chúig chláraitheoir réigiúnacha Idirlín, faoi DANE mar “teicneolaíocht marbh”.
Ní thacaíonn brabhsálaithe coitianta le fíordheimhniú teastais trí DANE a úsáid. Ar an margadh , a nochtann feidhmiúlacht thaifid TLSA, ach freisin a dtacaíocht .
Baineann fadhbanna le dáileadh DANE i mbrabhsálaithe le fad phróiseas bailíochtaithe DNSSEC. Cuirtear iallach ar an gcóras ríomhaireachtaí cripteagrafacha a dhéanamh chun barántúlacht an deimhnithe SSL a dhearbhú agus dul tríd an slabhra iomlán de fhreastalaithe DNS (ón bhfréamhchrios go dtí an fearann óstach) nuair a cheanglaítear an chéad uair le hacmhainn.
/Dísplash/
Rinne Mozilla iarracht deireadh a chur leis an míbhuntáiste seo leis an meicníocht le haghaidh TLS. Bhí sé ceaptha líon na dtaifead DNS a laghdú a bhí ar an gcliant breathnú suas le linn fíordheimhnithe. Mar sin féin, tháinig easaontais chun cinn laistigh den ghrúpa forbartha nach bhféadfaí a réiteach. Mar thoradh air sin, tréigeadh an tionscadal, cé gur cheadaigh an IETF é i mí an Mhárta 2018.
Cúis eile leis an éileamh íseal atá ar DANE ná leitheadúlacht íseal DNSSEC ar fud an domhain - . Mhothaigh saineolaithe nár leor é seo chun DANE a chur chun cinn go gníomhach.
Is dócha, forbróidh an tionscal i dtreo difriúil. In ionad DNS a úsáid chun deimhnithe SSL/TLS a fhíorú, cuirfidh gníomhaithe margaidh prótacail DNS-over-TLS (DoT) agus DNS-over-HTTPS (DoH) chun cinn. Luaigh muid an dara ceann i gceann dár ar Habré. Criptíonn siad agus fíoraíonn siad iarratais úsáideoirí chuig an bhfreastalaí DNS, rud a chuireann cosc ar ionsaitheoirí sonraí a spoofing. Ag tús na bliana, bhí DoT cheana féin chuig Google dá DNS Poiblí. Maidir le DANE, tá sé fós le feiceáil amach anseo an mbeidh an teicneolaíocht in ann “dul ar ais sa diallait” agus a bheith forleathan.
Cad eile atá againn le léamh breise:
Foinse: will.com