Nou pale sou kisa teknoloji DANE ye pou otantifye non domèn lè l sèvi avèk DNS ak poukisa li pa lajman itilize nan navigatè yo.
/Unsplash/
ki sa ki DANE
Otorite Sètifikasyon (CA) se òganizasyon ki sètifika kriptografik . Yo mete siyati elektwonik yo sou yo, ki konfime otantisite yo. Sepandan, pafwa sitiyasyon yo rive lè yo bay sètifika ak vyolasyon. Pou egzanp, ane pase a Google inisye yon "pwosedi detrust" pou sètifika Symantec akòz konpwomi yo (nou kouvri istwa sa a an detay nan blog nou an - и ).
Pou evite sitiyasyon sa yo, plizyè ane de sa IETF la Teknoloji DANE (men li pa lajman itilize nan navigatè yo - nou pral pale sou poukisa sa te rive pita).
DANE (DNS-based Authentication of Named Entities) se yon seri spesifikasyon ki pèmèt ou itilize DNSSEC (Extansyon Sekirite Sistèm Non) pou kontwole validite sètifika SSL yo. DNSSEC se yon ekstansyon pou Sistèm non domèn ki minimize atak spoofing adrès. Sèvi ak de teknoloji sa yo, yon wèbmastè oswa yon kliyan ka kontakte youn nan operatè zòn DNS yo epi konfime validite sètifika yo ap itilize a.
Esansyèlman, DANE aji kòm yon sètifika oto-siyen (garanti a nan fyab li se DNSSEC) ak konplete fonksyon yo nan yon CA.
Kijan travay sa a
Espesifikasyon DANE dekri nan . Dapre dokiman an, nan yon nouvo tip te ajoute - TLSA. Li gen enfòmasyon sou sètifika a ke yo te transfere, gwosè a ak kalite done yo te transfere, osi byen ke done nan tèt li. Webmaster la kreye yon anprent dijital sètifika a, li siyen li ak DNSSEC, epi li mete l nan TLSA.
Kliyan an konekte ak yon sit sou entènèt la epi konpare sètifika li a ak "kopi" yo resevwa nan men operatè dns la. Si yo matche ak, Lè sa a, resous la konsidere kòm ou fè konfyans.
Paj wiki DANE bay egzanp sa a yon demann DNS bay example.org sou pò TCP 443:
IN TLSA _443._tcp.example.orgRepons lan sanble sa a:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE gen plizyè ekstansyon ki travay ak dosye DNS ki pa TLSA. Premye a se dosye SSHFP DNS pou valide kle sou koneksyon SSH. Li dekri nan , и . Dezyèm lan se antre OPENPGPKEY pou echanj kle lè l sèvi avèk PGP (). Finalman, twazyèm lan se dosye SMIMEA (estanda a pa ofisyèlman nan RFC, gen ) pou echanj kle kriptografik atravè S/MIME.
Ki pwoblèm ki genyen ak DANE
Nan mitan mwa me a, konferans DNS-OARC te fèt (sa a se yon òganizasyon ki pa pou pwofi ki fè fas ak sekirite, estabilite ak devlopman nan sistèm nan non domèn). Ekspè sou youn nan panno yo ke teknoloji DANE nan navigatè yo te echwe (omwen nan aplikasyon aktyèl li yo). Prezante nan konferans lan Geoff Huston, dirijan syantis rechèch , youn nan senk rjistrè Entènèt rejyonal yo, sou DANE kòm yon "teknoloji mouri".
Navigatè popilè yo pa sipòte otantifikasyon sètifika lè l sèvi avèk DANE. Sou mache a , ki revele fonksyonalite dosye TLSA, men tou sipò yo .
Pwoblèm ak distribisyon DANE nan navigatè yo asosye ak longè pwosesis validation DNSSEC la. Se sistèm nan fòse fè kalkil kriptografik konfime otantisite nan sètifika SSL la epi ale nan tout chèn nan sèvè DNS (soti nan zòn nan rasin nan domèn nan lame) lè premye konekte ak yon resous.
/Unsplash/
Mozilla te eseye elimine dezavantaj sa a lè l sèvi avèk mekanis la pou TLS. Li te sipoze redwi kantite dosye DNS ke kliyan an te oblije gade pandan otantifikasyon. Sepandan, dezakò te parèt nan gwoup devlopman an ki pa t 'kapab rezoud. Kòm yon rezilta, pwojè a te abandone, byenke li te apwouve pa IETF a nan mwa mas 2018.
Yon lòt rezon pou popilarite ki ba nan DANE se prévalence ki ba nan DNSSEC nan mond lan - . Ekspè yo te santi ke sa pa t ase pou ankouraje DANE aktivman.
Gen plis chans, endistri a ap devlope nan yon direksyon diferan. Olye pou yo itilize DNS pou verifye sètifika SSL/TLS, jwè mache yo pral pito ankouraje pwotokòl DNS-sou-TLS (DoT) ak DNS-sou-HTTPS (DoH). Nou mansyone lèt la nan youn nan nou yo sou Habré. Yo ankripte ak verifye demann itilizatè yo nan sèvè dns la, pou anpeche atakè yo twonpe done yo. Nan kòmansman ane a, DoT te deja nan Google pou DNS Piblik li yo. Kòm pou DANE, si wi ou non teknoloji a pral kapab "retounen nan aparèy la" epi li toujou vin gaye toupatou rete yo dwe wè nan lavni an.
Ki lòt bagay nou genyen pou plis lekti:
Sous: www.habr.com