એક અભિપ્રાય છે: બ્રાઉઝર્સ માટે DANE તકનીક નિષ્ફળ ગઈ છે

અમે DNS નો ઉપયોગ કરીને ડોમેન નામોને પ્રમાણિત કરવા માટે DANE ટેક્નોલોજી શું છે અને બ્રાઉઝર્સમાં તેનો વ્યાપકપણે ઉપયોગ કેમ થતો નથી તે વિશે વાત કરીએ છીએ.

/અનસ્પ્લેશ/ પૌલિયસ ડ્રેગુનાસ

DANE શું છે

સર્ટિફિકેશન ઓથોરિટીઝ (CAs) એવી સંસ્થાઓ છે જે રોકાયેલા છે ક્રિપ્ટોગ્રાફિક પ્રમાણપત્ર SSL પ્રમાણપત્રો. તેઓ તેમના પર તેમની ઇલેક્ટ્રોનિક હસ્તાક્ષર મૂકે છે, તેમની અધિકૃતતાની પુષ્ટિ કરે છે. જો કે, કેટલીકવાર પરિસ્થિતિઓ ઊભી થાય છે જ્યારે પ્રમાણપત્રો ઉલ્લંઘન સાથે જારી કરવામાં આવે છે. ઉદાહરણ તરીકે, ગયા વર્ષે ગૂગલે તેમના સમાધાનને કારણે સિમેન્ટેક પ્રમાણપત્રો માટે "અવિશ્વાસ પ્રક્રિયા" શરૂ કરી હતી (અમે અમારા બ્લોગમાં આ વાર્તાને વિગતવાર આવરી લીધી છે - વખત и два).

આવી પરિસ્થિતિઓને ટાળવા માટે, ઘણા વર્ષો પહેલા IETF વિકાસ કરવાનું શરૂ કર્યું DANE ટેકનોલોજી (પરંતુ તે બ્રાઉઝર્સમાં વ્યાપકપણે ઉપયોગમાં લેવાતી નથી - અમે પછીથી આવું કેમ થયું તે વિશે વાત કરીશું).

DANE (નામિત એન્ટિટીઝનું DNS-આધારિત પ્રમાણીકરણ) એ વિશિષ્ટતાઓનો સમૂહ છે જે તમને SSL પ્રમાણપત્રોની માન્યતાને નિયંત્રિત કરવા માટે DNSSEC (નામ સિસ્ટમ સુરક્ષા એક્સ્ટેન્શન્સ) નો ઉપયોગ કરવાની મંજૂરી આપે છે. DNSSEC એ ડોમેન નેમ સિસ્ટમનું એક્સ્ટેંશન છે જે એડ્રેસ સ્પૂફિંગ હુમલાઓને ઘટાડે છે. આ બે તકનીકોનો ઉપયોગ કરીને, વેબમાસ્ટર અથવા ક્લાયંટ DNS ઝોન ઓપરેટર્સમાંથી એકનો સંપર્ક કરી શકે છે અને ઉપયોગમાં લેવાતા પ્રમાણપત્રની માન્યતાની પુષ્ટિ કરી શકે છે.

અનિવાર્યપણે, DANE સ્વ-હસ્તાક્ષરિત પ્રમાણપત્ર તરીકે કાર્ય કરે છે (તેની વિશ્વસનીયતાની બાંયધરી આપનાર DNSSEC છે) અને CA ના કાર્યોને પૂરક બનાવે છે.

આ કેવી રીતે કામ કરે છે

DANE સ્પષ્ટીકરણમાં વર્ણવેલ છે આરએફસી 6698. દસ્તાવેજ અનુસાર, માં DNS સંસાધન રેકોર્ડ્સ એક નવો પ્રકાર ઉમેરવામાં આવ્યો - TLSA. તેમાં ટ્રાન્સફર થઈ રહેલા પ્રમાણપત્ર, ટ્રાન્સફર થઈ રહેલા ડેટાના કદ અને પ્રકાર તેમજ ડેટા વિશેની માહિતી શામેલ છે. વેબમાસ્ટર પ્રમાણપત્રની ડિજિટલ થમ્બપ્રિન્ટ બનાવે છે, તેને DNSSEC સાથે સહી કરે છે અને તેને TLSA માં મૂકે છે.

ક્લાયંટ ઇન્ટરનેટ પર કોઈ સાઇટ સાથે જોડાય છે અને તેના પ્રમાણપત્રની તુલના DNS ઓપરેટર તરફથી મળેલી "કોપી" સાથે કરે છે. જો તેઓ મેળ ખાતા હોય, તો સંસાધનને વિશ્વસનીય ગણવામાં આવે છે.

DANE વિકી પૃષ્ઠ TCP પોર્ટ 443 પર example.org ને DNS વિનંતીનું નીચેનું ઉદાહરણ પૂરું પાડે છે:

IN TLSA _443._tcp.example.org

જવાબ આના જેવો દેખાય છે:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE પાસે ઘણા એક્સટેન્શન છે જે TLSA સિવાયના DNS રેકોર્ડ્સ સાથે કામ કરે છે. પ્રથમ SSH જોડાણો પર કીને માન્ય કરવા માટેનો SSHFP DNS રેકોર્ડ છે. તે માં વર્ણવેલ છે આરએફસી 4255, આરએફસી 6594 и આરએફસી 7479. બીજી PGP નો ઉપયોગ કરીને કી એક્સચેન્જ માટે OPENPGPKEY એન્ટ્રી છે (આરએફસી 7929). છેલ્લે, ત્રીજો SMIMEA રેકોર્ડ છે (આરએફસીમાં ધોરણ ઔપચારિક નથી, ત્યાં છે માત્ર તેનો ડ્રાફ્ટ) S/MIME મારફતે ક્રિપ્ટોગ્રાફિક કી એક્સચેન્જ માટે.

DANE સાથે શું સમસ્યા છે

મેના મધ્યમાં, DNS-OARC કોન્ફરન્સ યોજાઈ હતી (આ એક બિન-લાભકારી સંસ્થા છે જે સુરક્ષા, સ્થિરતા અને ડોમેન નામ સિસ્ટમના વિકાસ સાથે કામ કરે છે). એક પેનલ પર નિષ્ણાતો નિષ્કર્ષ પર આવ્યાકે બ્રાઉઝર્સમાં DANE ટેકનોલોજી નિષ્ફળ ગઈ છે (ઓછામાં ઓછા તેના વર્તમાન અમલીકરણમાં). કોન્ફરન્સમાં હાજર જ્યોફ હ્યુસ્ટન, અગ્રણી સંશોધન વૈજ્ઞાનિક APnic, પાંચ પ્રાદેશિક ઈન્ટરનેટ રજીસ્ટ્રારમાંથી એક, જવાબ આપ્યો DANE વિશે "ડેડ ટેકનોલોજી" તરીકે.

લોકપ્રિય બ્રાઉઝર્સ DANE નો ઉપયોગ કરીને પ્રમાણપત્ર પ્રમાણીકરણને સમર્થન આપતા નથી. બજાર પર ખાસ પ્લગઈનો છે, જે TLSA રેકોર્ડ્સની કાર્યક્ષમતા દર્શાવે છે, પરંતુ તેમના સમર્થનને પણ દર્શાવે છે ધીમે ધીમે બંધ.

બ્રાઉઝર્સમાં DANE વિતરણની સમસ્યાઓ DNSSEC માન્યતા પ્રક્રિયાની લંબાઈ સાથે સંકળાયેલી છે. સિસ્ટમને SSL પ્રમાણપત્રની અધિકૃતતાની પુષ્ટિ કરવા માટે ક્રિપ્ટોગ્રાફિક ગણતરીઓ કરવાની ફરજ પાડવામાં આવે છે અને જ્યારે કોઈ સંસાધન સાથે પ્રથમ કનેક્ટ થાય છે ત્યારે DNS સર્વરની સમગ્ર સાંકળ (રુટ ઝોનથી હોસ્ટ ડોમેન સુધી) પસાર થાય છે.

/અનસ્પ્લેશ/ Kaley Dykstra

મોઝિલાએ મિકેનિઝમનો ઉપયોગ કરીને આ ખામીને દૂર કરવાનો પ્રયાસ કર્યો DNSSEC ચેઇન એક્સ્ટેંશન TLS માટે. તે DNS રેકોર્ડ્સની સંખ્યા ઘટાડવા માટે માનવામાં આવતું હતું જે ક્લાયંટને પ્રમાણીકરણ દરમિયાન જોવાનું હતું. જો કે, વિકાસ જૂથમાં મતભેદો ઉભા થયા જે ઉકેલી શકાયા ન હતા. પરિણામે, પ્રોજેક્ટ છોડી દેવામાં આવ્યો હતો, જો કે તેને માર્ચ 2018 માં IETF દ્વારા મંજૂર કરવામાં આવ્યો હતો.

DANE ની ઓછી લોકપ્રિયતા માટેનું બીજું કારણ વિશ્વમાં DNSSEC નો નીચો વ્યાપ છે - માત્ર 19% સંસાધનો તેની સાથે કામ કરે છે. નિષ્ણાતોને લાગ્યું કે આ DANE ને સક્રિય રીતે પ્રોત્સાહન આપવા માટે પૂરતું નથી.

મોટે ભાગે, ઉદ્યોગ એક અલગ દિશામાં વિકાસ કરશે. SSL/TLS પ્રમાણપત્રો ચકાસવા માટે DNS નો ઉપયોગ કરવાને બદલે, બજારના ખેલાડીઓ DNS-over-TLS (DoT) અને DNS-over-HTTPS (DoH) પ્રોટોકોલને પ્રોત્સાહન આપશે. અમે અમારા એકમાં બાદમાંનો ઉલ્લેખ કર્યો છે અગાઉની સામગ્રી હેબ્રે પર. તેઓ DNS સર્વર પર વપરાશકર્તાની વિનંતીઓને એન્ક્રિપ્ટ કરે છે અને ચકાસે છે, હુમલાખોરોને ડેટા સ્પૂફિંગ કરતા અટકાવે છે. વર્ષની શરૂઆતમાં, DoT પહેલેથી જ હતી અમલમાં મૂક્યો Google ને તેના સાર્વજનિક DNS માટે. DANE ની વાત કરીએ તો, શું ટેક્નોલોજી "સેડલમાં પાછા આવવા" અને હજુ પણ વ્યાપક બની શકશે કે કેમ તે ભવિષ્યમાં જોવાનું બાકી છે.

આગળ વાંચવા માટે અમારી પાસે બીજું શું છે:

આઇટી ઇન્ફ્રાસ્ટ્રક્ચર મેનેજમેન્ટને કેવી રીતે સ્વચાલિત કરવું - ત્રણ વલણોની ચર્ચા
JMAP - એક ખુલ્લો પ્રોટોકોલ જે ઈમેઈલની આપલે કરતી વખતે IMAP ને બદલશે

એપ્લિકેશન પ્રોગ્રામિંગ ઇન્ટરફેસ સાથે કેવી રીતે સાચવવું
1cloud.ru ના ઉદાહરણનો ઉપયોગ કરીને ક્લાઉડ સેવામાં DevOps
ક્લાઉડ આર્કિટેક્ચર 1 ક્લાઉડનું ઉત્ક્રાંતિ

1Cloud ટેક્નિકલ સપોર્ટ કેવી રીતે કામ કરે છે?
ક્લાઉડ ટેક્નોલોજી વિશે દંતકથાઓ

સોર્સ: www.habr.com