Aia kekahi manaʻo: ua hāʻule ka ʻenehana DANE no nā polokalamu kele
Ke kamaʻilio nei mākou e pili ana i ka ʻenehana DANE no ka hōʻoia ʻana i nā inoa kikowaena me ka hoʻohana ʻana i DNS a no ke aha ʻaʻole i hoʻohana nui ʻia i nā polokalamu kele.
ʻO nā mana hōʻoia (CA) nā hui e ua hoopalau palapala hōʻoia cryptographic Palapala SSL. Kau lākou i kā lākou pūlima uila ma luna o lākou, e hōʻoia ana i ko lākou ʻoiaʻiʻo. Eia naʻe, i kekahi manawa e kū mai nā kūlana ke hāʻawi ʻia nā palapala hōʻoia me nā hewa. No ka laʻana, i ka makahiki i hala aku nei ua hoʻomaka ʻo Google i kahi "kaʻina hana detrust" no nā palapala hōʻoia Symantec ma muli o kā lākou ʻae ʻana (ua uhi mākou i kēia moʻolelo ma kā mākou blog - manawa и mau).
No ka pale ʻana i kēlā ʻano kūlana, i kekahi mau makahiki i hala aku nei ka IETF hoʻomaka e ulu ʻenehana DANE (akā ʻaʻole hoʻohana nui ʻia i nā polokalamu kele - e kamaʻilio mākou e pili ana i ke kumu o kēia ma hope).
ʻO DANE (DNS-based Authentication of Named Entities) kahi hoʻonohonoho o nā kikoʻī e hiki ai iā ʻoe ke hoʻohana i ka DNSSEC (Name System Security Extensions) e kāohi i ka pono o nā palapala SSL. He hoʻonui ʻia ʻo DNSSEC i ka Domain Name System e hōʻemi ana i ka hoʻouka ʻana i ka ʻōlelo. Ke hoʻohana nei i kēia mau ʻenehana ʻelua, hiki i kahi haku pūnaewele a i ʻole ka mea kūʻai aku ke hoʻopili i kekahi o nā mea hoʻokele DNS zone a hōʻoia i ka pono o ka palapala hōʻoia i hoʻohana ʻia.
ʻO ka mea nui, hana ʻo DANE ma ke ʻano he palapala hoʻopaʻa inoa iā ia iho (ʻo DNSSEC ka mea hōʻoia i kona hilinaʻi) a hoʻokō i nā hana o kahi CA.
Pehea hana i keia hana
Ua wehewehe ʻia ka kikoʻī DANE ma RFC6698. Wahi a ka palapala, in Nā moʻolelo kumu waiwai DNS ua hoʻohui ʻia kahi ʻano hou - TLSA. Loaʻa ka ʻike e pili ana i ka palapala hōʻoia e hoʻoili ʻia, ka nui a me ke ʻano o ka ʻikepili i hoʻoili ʻia, a me ka ʻikepili ponoʻī. Hoʻokumu ka luna pūnaewele i kahi manamana lima kikohoʻe o ka palapala hōʻoia, kau inoa me DNSSEC, a waiho i loko o ka TLSA.
Hoʻopili ka mea kūʻai aku i kahi pūnaewele ma ka Pūnaewele a hoʻohālikelike i kāna palapala hōʻoia me ka "kope" i loaʻa mai ka mea hoʻohana DNS. Inā pili lākou, a laila manaʻo ʻia ka waiwai i hilinaʻi ʻia.
Hāʻawi ka ʻaoʻao wiki DANE i kēia hiʻohiʻona o kahi noi DNS iā example.org ma TCP port 443:
IN TLSA _443._tcp.example.org
Penei ka pane:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
Loaʻa iā DANE nā mea hoʻonui e hana pū me nā moʻolelo DNS ma waho o TLSA. ʻO ka mua ka moʻolelo DNS SSHFP no ka hōʻoia ʻana i nā kī ma nā pili SSH. Ua wehewehe ʻia ma RFC4255, RFC6594 и RFC7479. ʻO ka lua o ka OPENPGPKEY komo no ka hoʻololi kī me ka hoʻohana ʻana i ka PGP (RFC7929). ʻO ka hope, ʻo ke kolu ka moʻolelo SMIMEA (ʻaʻole i hoʻokumu ʻia ka maʻamau i ka RFC, aia he kikoo wale no) no ka hoʻololi kī cryptographic ma o S/MIME.
He aha ka pilikia o DANE
I ka waena o Mei, ua mālamaʻia kaʻaha kūkā DNS-OARC (he hui waiwaiʻole kēia e pili ana i ka palekana, ka paʻa a me ka hoʻomohalaʻana o ka pūnaewele inoa inoa). ʻO nā mea akamai i kekahi o nā paneli hiki mai i ka hopenaua hāʻule ka ʻenehana DANE i nā mākaʻikaʻi (ma ka liʻiliʻi loa i kāna hoʻokō ʻana i kēia manawa). Aia ma ka ʻaha kūkā ʻo Geoff Huston, alakaʻi ʻepekema noiʻi APNIKA, kekahi o nā mea kākau inoa pūnaewele puni honua ʻelima, i pane aku ai e pili ana iā DANE ma ke ʻano he "ʻenehana make".
ʻAʻole kākoʻo nā mākaʻikaʻi kaulana i ka hōʻoia hōʻoia me ka hoʻohana ʻana iā DANE. Ma ka mākeke aia nā plugins kūikawā, e hōʻike ana i ka hana o nā moʻolelo TLSA, akā i kā lākou kākoʻo pū kekahi kū mālie.
ʻO nā pilikia me ka hāʻawi ʻana iā DANE i nā polokalamu kele pūnaewele e pili ana i ka lōʻihi o ke kaʻina hana hōʻoia DNSSEC. Ua koi ʻia ka ʻōnaehana e hana i nā helu cryptographic e hōʻoia i ka ʻoiaʻiʻo o ka palapala SSL a hele i ke kaulahao holoʻokoʻa o nā kikowaena DNS (mai ke kumu aʻa i ka domain host) i ka wā e hoʻopili mua ai i kahi kumuwaiwai.
Ua hoʻāʻo ʻo Mozilla e hoʻopau i kēia drawback me ka hoʻohana ʻana i ka mīkini Hoʻonui ʻia ke kaulahao DNSSEC no TLS. Ua manaʻo ʻia e hōʻemi i ka helu o nā moʻolelo DNS i nānā ʻia e ka mea kūʻai aku i ka wā o ka hōʻoia. Eia naʻe, ua ulu mai nā kuʻikahi i loko o ka hui hoʻomohala i hiki ʻole ke hoʻoholo. ʻO ka hopena, ua haʻalele ʻia ka papahana, ʻoiai ua ʻae ʻia e ka IETF i Malaki 2018.
ʻO kekahi kumu no ka haʻahaʻa haʻahaʻa o DANE ka haʻahaʻa haʻahaʻa o DNSSEC i ka honua - ʻO 19% wale nō o nā kumuwaiwai e hana pū me ia. Ua manaʻo ka poʻe loea ʻaʻole lawa kēia no ka hoʻoikaika ikaika ʻana iā DANE.
ʻO ka mea nui loa, e ulu ka ʻoihana ma kahi ʻano ʻē aʻe. Ma kahi o ka hoʻohana ʻana i DNS e hōʻoia i nā palapala SSL/TLS, e hoʻolaha nā mea pāʻani mākeke i nā protocol DNS-over-TLS (DoT) a me DNS-over-HTTPS (DoH). Ua haʻi mākou i ka hope ma kekahi o kā mākou mea mua ma Habré. Hoʻopili lākou a hōʻoia i nā noi mea hoʻohana i ka server DNS, e pale ana i nā mea hoʻouka mai ka hoʻopunipuni ʻana i ka ʻikepili. I ka hoʻomaka ʻana o ka makahiki, ua loaʻa ʻo DoT hoʻokō ʻia iā Google no kāna DNS lehulehu. ʻO DANE, inā paha e hiki i ka ʻenehana ke "hoʻi hou i loko o ka noho aliʻi" a hoʻolaha nui ʻia e ʻike ʻia i ka wā e hiki mai ana.