Ke kamaʻilio nei mākou e pili ana i ka ʻenehana DANE no ka hōʻoia ʻana i nā inoa kikowaena me ka hoʻohana ʻana i DNS a no ke aha ʻaʻole i hoʻohana nui ʻia i nā polokalamu kele.
/Unsplash/
He aha ka DANE
ʻO nā mana hōʻoia (CA) nā hui e palapala hōʻoia cryptographic . Kau lākou i kā lākou pūlima uila ma luna o lākou, e hōʻoia ana i ko lākou ʻoiaʻiʻo. Eia naʻe, i kekahi manawa e kū mai nā kūlana ke hāʻawi ʻia nā palapala hōʻoia me nā hewa. No ka laʻana, i ka makahiki i hala aku nei ua hoʻomaka ʻo Google i kahi "kaʻina hana detrust" no nā palapala hōʻoia Symantec ma muli o kā lākou ʻae ʻana (ua uhi mākou i kēia moʻolelo ma kā mākou blog - и ).
No ka pale ʻana i kēlā ʻano kūlana, i kekahi mau makahiki i hala aku nei ka IETF ʻenehana DANE (akā ʻaʻole hoʻohana nui ʻia i nā polokalamu kele - e kamaʻilio mākou e pili ana i ke kumu o kēia ma hope).
ʻO DANE (DNS-based Authentication of Named Entities) kahi hoʻonohonoho o nā kikoʻī e hiki ai iā ʻoe ke hoʻohana i ka DNSSEC (Name System Security Extensions) e kāohi i ka pono o nā palapala SSL. He hoʻonui ʻia ʻo DNSSEC i ka Domain Name System e hōʻemi ana i ka hoʻouka ʻana i ka ʻōlelo. Ke hoʻohana nei i kēia mau ʻenehana ʻelua, hiki i kahi haku pūnaewele a i ʻole ka mea kūʻai aku ke hoʻopili i kekahi o nā mea hoʻokele DNS zone a hōʻoia i ka pono o ka palapala hōʻoia i hoʻohana ʻia.
ʻO ka mea nui, hana ʻo DANE ma ke ʻano he palapala hoʻopaʻa inoa iā ia iho (ʻo DNSSEC ka mea hōʻoia i kona hilinaʻi) a hoʻokō i nā hana o kahi CA.
Pehea hana i keia hana
Ua wehewehe ʻia ka kikoʻī DANE ma . Wahi a ka palapala, in ua hoʻohui ʻia kahi ʻano hou - TLSA. Loaʻa ka ʻike e pili ana i ka palapala hōʻoia e hoʻoili ʻia, ka nui a me ke ʻano o ka ʻikepili i hoʻoili ʻia, a me ka ʻikepili ponoʻī. Hoʻokumu ka luna pūnaewele i kahi manamana lima kikohoʻe o ka palapala hōʻoia, kau inoa me DNSSEC, a waiho i loko o ka TLSA.
Hoʻopili ka mea kūʻai aku i kahi pūnaewele ma ka Pūnaewele a hoʻohālikelike i kāna palapala hōʻoia me ka "kope" i loaʻa mai ka mea hoʻohana DNS. Inā pili lākou, a laila manaʻo ʻia ka waiwai i hilinaʻi ʻia.
Hāʻawi ka ʻaoʻao wiki DANE i kēia hiʻohiʻona o kahi noi DNS iā example.org ma TCP port 443:
IN TLSA _443._tcp.example.orgPenei ka pane:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
Loaʻa iā DANE nā mea hoʻonui e hana pū me nā moʻolelo DNS ma waho o TLSA. ʻO ka mua ka moʻolelo DNS SSHFP no ka hōʻoia ʻana i nā kī ma nā pili SSH. Ua wehewehe ʻia ma , и . ʻO ka lua o ka OPENPGPKEY komo no ka hoʻololi kī me ka hoʻohana ʻana i ka PGP (). ʻO ka hope, ʻo ke kolu ka moʻolelo SMIMEA (ʻaʻole i hoʻokumu ʻia ka maʻamau i ka RFC, aia ) no ka hoʻololi kī cryptographic ma o S/MIME.
He aha ka pilikia o DANE
I ka waena o Mei, ua mālamaʻia kaʻaha kūkā DNS-OARC (he hui waiwaiʻole kēia e pili ana i ka palekana, ka paʻa a me ka hoʻomohalaʻana o ka pūnaewele inoa inoa). ʻO nā mea akamai i kekahi o nā paneli ua hāʻule ka ʻenehana DANE i nā mākaʻikaʻi (ma ka liʻiliʻi loa i kāna hoʻokō ʻana i kēia manawa). Aia ma ka ʻaha kūkā ʻo Geoff Huston, alakaʻi ʻepekema noiʻi , kekahi o nā mea kākau inoa pūnaewele puni honua ʻelima, e pili ana iā DANE ma ke ʻano he "ʻenehana make".
ʻAʻole kākoʻo nā mākaʻikaʻi kaulana i ka hōʻoia hōʻoia me ka hoʻohana ʻana iā DANE. Ma ka mākeke , e hōʻike ana i ka hana o nā moʻolelo TLSA, akā i kā lākou kākoʻo pū kekahi .
ʻO nā pilikia me ka hāʻawi ʻana iā DANE i nā polokalamu kele pūnaewele e pili ana i ka lōʻihi o ke kaʻina hana hōʻoia DNSSEC. Ua koi ʻia ka ʻōnaehana e hana i nā helu cryptographic e hōʻoia i ka ʻoiaʻiʻo o ka palapala SSL a hele i ke kaulahao holoʻokoʻa o nā kikowaena DNS (mai ke kumu aʻa i ka domain host) i ka wā e hoʻopili mua ai i kahi kumuwaiwai.
/Unsplash/
Ua hoʻāʻo ʻo Mozilla e hoʻopau i kēia drawback me ka hoʻohana ʻana i ka mīkini no TLS. Ua manaʻo ʻia e hōʻemi i ka helu o nā moʻolelo DNS i nānā ʻia e ka mea kūʻai aku i ka wā o ka hōʻoia. Eia naʻe, ua ulu mai nā kuʻikahi i loko o ka hui hoʻomohala i hiki ʻole ke hoʻoholo. ʻO ka hopena, ua haʻalele ʻia ka papahana, ʻoiai ua ʻae ʻia e ka IETF i Malaki 2018.
ʻO kekahi kumu no ka haʻahaʻa haʻahaʻa o DANE ka haʻahaʻa haʻahaʻa o DNSSEC i ka honua - . Ua manaʻo ka poʻe loea ʻaʻole lawa kēia no ka hoʻoikaika ikaika ʻana iā DANE.
ʻO ka mea nui loa, e ulu ka ʻoihana ma kahi ʻano ʻē aʻe. Ma kahi o ka hoʻohana ʻana i DNS e hōʻoia i nā palapala SSL/TLS, e hoʻolaha nā mea pāʻani mākeke i nā protocol DNS-over-TLS (DoT) a me DNS-over-HTTPS (DoH). Ua haʻi mākou i ka hope ma kekahi o kā mākou ma Habré. Hoʻopili lākou a hōʻoia i nā noi mea hoʻohana i ka server DNS, e pale ana i nā mea hoʻouka mai ka hoʻopunipuni ʻana i ka ʻikepili. I ka hoʻomaka ʻana o ka makahiki, ua loaʻa ʻo DoT iā Google no kāna DNS lehulehu. ʻO DANE, inā paha e hiki i ka ʻenehana ke "hoʻi hou i loko o ka noho aliʻi" a hoʻolaha nui ʻia e ʻike ʻia i ka wā e hiki mai ana.
He aha hou aʻe kā mākou no ka heluhelu hou ʻana:
Source: www.habr.com