ProHoster > Blog > Rianachd > Tha beachd ann: tha teicneòlas DANE airson brobhsairean air fàiligeadh
Tha beachd ann: tha teicneòlas DANE airson brobhsairean air fàiligeadh
Bidh sinn a’ bruidhinn air dè a th’ ann an teicneòlas DANE airson ainmean fearainn a dhearbhadh a’ cleachdadh DNS agus carson nach eil e air a chleachdadh gu farsaing ann am brobhsairean.
Tha ùghdarrasan teisteanais (CAn) nam buidhnean a tha an sàs teisteanas criptografach Teisteanasan SSL. Chuir iad an ainm-sgrìobhte dealanach orra, a’ dearbhadh an dearbhachd. Ach, uaireannan bidh suidheachaidhean ag èirigh nuair a thèid teisteanasan a thoirt seachad le brisidhean. Mar eisimpleir, an-uiridh thòisich Google “dòigh-obrach earbsa” airson teisteanasan Symantec mar thoradh air an co-rèiteachadh aca (chòmhdaich sinn an sgeulachd seo gu mionaideach nar blog - amannan и два).
Gus suidheachaidhean mar sin a sheachnadh, grunn bhliadhnaichean air ais chaidh an IETF thòisich e air leasachadh Teicneòlas DANE (ach chan eil e air a chleachdadh gu farsaing ann am brobhsairean - bruidhnidh sinn carson a thachair seo nas fhaide air adhart).
Tha DANE (Dearbhadh Buidhnean Ainmichte stèidhichte air DNS) na sheata de shònrachaidhean a leigeas leat DNSSEC (Leudachadh Tèarainteachd an t-Siostam Ainm) a chleachdadh gus smachd a chumail air dligheachd theisteanasan SSL. Tha DNSSEC na leudachadh air an t-siostam Ainm Domain a lughdaicheas ionnsaighean spoofing seòlaidh. A’ cleachdadh an dà theicneòlas seo, faodaidh maighstir-lìn no neach-dèiligidh fios a chuir gu aon de na gnìomhaichean sòn DNS agus dearbhadh dligheachd an teisteanais a thathar a’ cleachdadh.
Gu bunaiteach, tha DANE ag obair mar theisteanas fèin-shoidhnichte (is e DNSSEC an neach-urrais earbsachd) agus a’ cur ri gnìomhan CA.
Ciamar a tha an obair seo
Tha sònrachadh DANE air a mhìneachadh ann an RFC 6698. A rèir na sgrìobhainn, ann an Clàran ghoireasan DNS chaidh seòrsa ùr a chur ris - TLSA. Tha fiosrachadh ann mun teisteanas ga ghluasad, meud agus seòrsa an dàta a thèid a ghluasad, a bharrachd air an dàta fhèin. Bidh am maighstir-lìn a’ cruthachadh òrdag didseatach den teisteanas, ga shoidhnigeadh le DNSSEC, agus ga chuir san TLSA.
Bidh an neach-dèiligidh a ’ceangal ri làrach air an eadar-lìn agus a’ dèanamh coimeas eadar an teisteanas aige agus an “leth-bhreac” a fhuaireadh bhon ghnìomhaiche DNS. Ma tha iad a’ maidseadh, thathas den bheachd gu bheil an goireas earbsach.
Tha duilleag wiki DANE a’ toirt seachad an eisimpleir a leanas de iarrtas DNS gu example.org air port TCP 443:
IN TLSA _443._tcp.example.org
Tha am freagairt coltach ri seo:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
Tha grunn leudachain aig DANE a bhios ag obair le clàran DNS a bharrachd air TLSA. Is e a’ chiad fhear an clàr SSHFP DNS airson iuchraichean a dhearbhadh air ceanglaichean SSH. Tha e air a mhìneachadh ann an RFC 4255, RFC 6594 и RFC 7479. Is e an dàrna fear an inntrigeadh OPENPGPKEY airson prìomh iomlaid a’ cleachdadh PGP (RFC 7929). Mu dheireadh, is e an treas fear an clàr SMIMEA (chan eil an ìre air a dhèanamh foirmeil anns an RFC, tha dìreach dreach dheth) airson iomlaid iuchrach criptografach tro S/MIME.
Dè an duilgheadas a th’ ann le DANE
Ann am meadhan a ’Chèitein, chaidh co-labhairt DNS-OARC a chumail (is e buidheann neo-phrothaideach a tha seo a bhios a’ dèiligeadh ri tèarainteachd, seasmhachd agus leasachadh siostam ainmean fearainn). Eòlaichean air aon de na pannalan thàinig gu co-dhùnadhgu bheil teicneòlas DANE ann am brobhsairean air fàiligeadh (co-dhiù na bhuileachadh làithreach). An làthair aig a’ cho-labhairt Geoff Huston, Prìomh Neach-saidheans Rannsachaidh APnic, aon de chòignear luchd-clàraidh eadar-lìn roinneil, fhreagair mu DANE mar “teicneòlas marbh”.
Chan eil brobhsairean cumanta a’ toirt taic do dhearbhadh teisteanais a’ cleachdadh DANE. Air a’ mhargaidh tha plugins sònraichte ann, a tha a’ nochdadh comas-gnìomh chlàran TLSA, ach cuideachd an taic mean air mhean stad.
Tha duilgheadasan le cuairteachadh DANE ann am brobhsairean co-cheangailte ri fad pròiseas dearbhaidh DNSSEC. Feumaidh an siostam àireamhachadh criptografach a dhèanamh gus dearbhteachd an teisteanais SSL a dhearbhadh agus a dhol tron t-sreath iomlan de luchd-frithealaidh DNS (bhon raon freumh gu raon an aoigheachd) nuair a cheanglas e ri goireas an toiseach.
Dh'fheuch Mozilla ri cur às don eas-bhuannachd seo leis an uidheamachd Leudachadh slabhraidh DNSSEC airson TLS. Bha còir aige an àireamh de chlàran DNS a dh’ fheumadh an neach-dèiligidh coimhead suas aig àm dearbhaidh a lughdachadh. Ach, dh'èirich eas-aonta taobh a-staigh na buidhne leasachaidh nach gabhadh fuasgladh. Mar thoradh air an sin, chaidh am pròiseact a thrèigsinn, ged a chaidh aontachadh leis an IETF sa Mhàrt 2018.
Is e adhbhar eile airson cho ìosal ‘s a tha DANE cho tric sa tha DNSSEC san t-saoghal - chan eil ach 19% de ghoireasan ag obair leis. Bha eòlaichean den bheachd nach robh seo gu leòr airson DANE a bhrosnachadh gu gnìomhach.
Nas coltaiche, leasaichidh an gnìomhachas ann an slighe eadar-dhealaichte. An àite a bhith a’ cleachdadh DNS gus teisteanasan SSL / TLS a dhearbhadh, brosnaichidh cluicheadairean margaidh pròtacalan DNS-over-TLS (DoT) agus DNS-over-HTTPS (DoH). Thug sinn iomradh air an fhear mu dheireadh ann an aon de ar cuid stuthan roimhe air Habré. Bidh iad a’ crioptachadh agus a’ dearbhadh iarrtasan luchd-cleachdaidh gu frithealaiche DNS, a’ cur casg air luchd-ionnsaigh bho bhith a’ spùtadh dàta. Aig toiseach na bliadhna, bha DoT mar-thà air a chur an gnìomh gu Google airson an DNS Poblach aige. A thaobh DANE, tha e fhathast ri fhaicinn am bi an teicneòlas comasach air “faighinn air ais don dìollaid” agus a bhith farsaing san àm ri teachd.