ಒಂದು ಅಭಿಪ್ರಾಯವಿದೆ: ಬ್ರೌಸರ್‌ಗಳಿಗಾಗಿ DANE ತಂತ್ರಜ್ಞಾನವು ವಿಫಲವಾಗಿದೆ

DNS ಬಳಸಿಕೊಂಡು ಡೊಮೇನ್ ಹೆಸರುಗಳನ್ನು ದೃಢೀಕರಿಸಲು DANE ತಂತ್ರಜ್ಞಾನ ಯಾವುದು ಮತ್ತು ಅದನ್ನು ಬ್ರೌಸರ್‌ಗಳಲ್ಲಿ ಏಕೆ ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುವುದಿಲ್ಲ ಎಂಬುದರ ಕುರಿತು ನಾವು ಮಾತನಾಡುತ್ತೇವೆ.

/ಅನ್‌ಸ್ಪ್ಲಾಶ್/ ಪೌಲಿಯಸ್ ಡ್ರಾಗುನಾಸ್

DANE ಎಂದರೇನು

ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರಗಳು (CAs) ಸಂಸ್ಥೆಗಳು ತೊಡಗಿಸಿಕೊಂಡಿದ್ದಾರೆ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಪ್ರಮಾಣಪತ್ರ SSL ಪ್ರಮಾಣಪತ್ರಗಳು. ಅವರು ತಮ್ಮ ಎಲೆಕ್ಟ್ರಾನಿಕ್ ಸಹಿಯನ್ನು ಹಾಕುತ್ತಾರೆ, ಅವರ ದೃಢೀಕರಣವನ್ನು ದೃಢೀಕರಿಸುತ್ತಾರೆ. ಆದಾಗ್ಯೂ, ಉಲ್ಲಂಘನೆಗಳೊಂದಿಗೆ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡಿದಾಗ ಕೆಲವೊಮ್ಮೆ ಸಂದರ್ಭಗಳು ಉದ್ಭವಿಸುತ್ತವೆ. ಉದಾಹರಣೆಗೆ, ಕಳೆದ ವರ್ಷ Google ಸಿಮ್ಯಾಂಟೆಕ್ ಪ್ರಮಾಣಪತ್ರಗಳಿಗಾಗಿ ಅವರ ರಾಜಿ ಕಾರಣಕ್ಕಾಗಿ "ವಿಶ್ವಾಸದ ಕಾರ್ಯವಿಧಾನ" ವನ್ನು ಪ್ರಾರಂಭಿಸಿತು (ನಾವು ಈ ಕಥೆಯನ್ನು ನಮ್ಮ ಬ್ಲಾಗ್‌ನಲ್ಲಿ ವಿವರವಾಗಿ ವಿವರಿಸಿದ್ದೇವೆ - ಬಾರಿ и два).

ಅಂತಹ ಸಂದರ್ಭಗಳನ್ನು ತಪ್ಪಿಸಲು, ಹಲವಾರು ವರ್ಷಗಳ ಹಿಂದೆ ಐ.ಇ.ಟಿ.ಎಫ್ ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಪ್ರಾರಂಭಿಸಿತು DANE ತಂತ್ರಜ್ಞಾನ (ಆದರೆ ಇದನ್ನು ಬ್ರೌಸರ್‌ಗಳಲ್ಲಿ ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುವುದಿಲ್ಲ - ಇದು ಏಕೆ ಸಂಭವಿಸಿತು ಎಂಬುದರ ಕುರಿತು ನಾವು ನಂತರ ಮಾತನಾಡುತ್ತೇವೆ).

DANE (ಹೆಸರಿನ ಘಟಕಗಳ DNS ಆಧಾರಿತ ದೃಢೀಕರಣ) ಎನ್ನುವುದು SSL ಪ್ರಮಾಣಪತ್ರಗಳ ಸಿಂಧುತ್ವವನ್ನು ನಿಯಂತ್ರಿಸಲು DNSSEC (ಹೆಸರು ಸಿಸ್ಟಮ್ ಸೆಕ್ಯುರಿಟಿ ಎಕ್ಸ್‌ಟೆನ್ಶನ್‌ಗಳು) ಅನ್ನು ಬಳಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ವಿಶೇಷಣಗಳ ಗುಂಪಾಗಿದೆ. DNSSEC ಎಂಬುದು ಡೊಮೈನ್ ನೇಮ್ ಸಿಸ್ಟಮ್‌ಗೆ ವಿಸ್ತರಣೆಯಾಗಿದ್ದು ಅದು ವಿಳಾಸ ವಂಚನೆಯ ದಾಳಿಯನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ. ಈ ಎರಡು ತಂತ್ರಜ್ಞಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು, ವೆಬ್‌ಮಾಸ್ಟರ್ ಅಥವಾ ಕ್ಲೈಂಟ್ DNS ವಲಯ ಆಪರೇಟರ್‌ಗಳಲ್ಲಿ ಒಬ್ಬರನ್ನು ಸಂಪರ್ಕಿಸಬಹುದು ಮತ್ತು ಬಳಸುತ್ತಿರುವ ಪ್ರಮಾಣಪತ್ರದ ಸಿಂಧುತ್ವವನ್ನು ದೃಢೀಕರಿಸಬಹುದು.

ಮೂಲಭೂತವಾಗಿ, DANE ಸ್ವಯಂ-ಸಹಿ ಪ್ರಮಾಣಪತ್ರದಂತೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ (ಅದರ ವಿಶ್ವಾಸಾರ್ಹತೆಯ ಖಾತರಿ DNSSEC) ಮತ್ತು CA ಯ ಕಾರ್ಯಗಳನ್ನು ಪೂರೈಸುತ್ತದೆ.

ಹೇಗೆ ಕೆಲಸ ಮಾಡುತ್ತದೆ

DANE ವಿವರಣೆಯನ್ನು ವಿವರಿಸಲಾಗಿದೆ ಆರ್‌ಎಫ್‌ಸಿ 6698. ಡಾಕ್ಯುಮೆಂಟ್ ಪ್ರಕಾರ, ಇನ್ DNS ಸಂಪನ್ಮೂಲ ದಾಖಲೆಗಳು ಹೊಸ ಪ್ರಕಾರವನ್ನು ಸೇರಿಸಲಾಗಿದೆ - TLSA. ಇದು ವರ್ಗಾವಣೆಯಾಗುತ್ತಿರುವ ಪ್ರಮಾಣಪತ್ರ, ಗಾತ್ರ ಮತ್ತು ಡೇಟಾ ಪ್ರಕಾರದ ವರ್ಗಾವಣೆ, ಹಾಗೆಯೇ ಡೇಟಾದ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿದೆ. ವೆಬ್‌ಮಾಸ್ಟರ್ ಪ್ರಮಾಣಪತ್ರದ ಡಿಜಿಟಲ್ ಥಂಬ್‌ಪ್ರಿಂಟ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ, ಅದನ್ನು DNSSEC ನೊಂದಿಗೆ ಸಹಿ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದನ್ನು TLSA ನಲ್ಲಿ ಇರಿಸುತ್ತದೆ.

ಕ್ಲೈಂಟ್ ಇಂಟರ್ನೆಟ್ನಲ್ಲಿ ಸೈಟ್ಗೆ ಸಂಪರ್ಕಿಸುತ್ತದೆ ಮತ್ತು ಅದರ ಪ್ರಮಾಣಪತ್ರವನ್ನು DNS ಆಪರೇಟರ್ನಿಂದ ಸ್ವೀಕರಿಸಿದ "ನಕಲು" ನೊಂದಿಗೆ ಹೋಲಿಸುತ್ತದೆ. ಅವು ಹೊಂದಾಣಿಕೆಯಾದರೆ, ಸಂಪನ್ಮೂಲವನ್ನು ವಿಶ್ವಾಸಾರ್ಹವೆಂದು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ.

DANE ವಿಕಿ ಪುಟವು TCP ಪೋರ್ಟ್ 443 ನಲ್ಲಿ example.org ಗೆ DNS ವಿನಂತಿಯ ಕೆಳಗಿನ ಉದಾಹರಣೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ:

IN TLSA _443._tcp.example.org

ಉತ್ತರವು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

TLSA ಹೊರತುಪಡಿಸಿ DNS ದಾಖಲೆಗಳೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಹಲವಾರು ವಿಸ್ತರಣೆಗಳನ್ನು DANE ಹೊಂದಿದೆ. ಮೊದಲನೆಯದು SSH ಸಂಪರ್ಕಗಳಲ್ಲಿ ಕೀಗಳನ್ನು ಮೌಲ್ಯೀಕರಿಸಲು SSHFP DNS ದಾಖಲೆಯಾಗಿದೆ. ಇದನ್ನು ವಿವರಿಸಲಾಗಿದೆ ಆರ್‌ಎಫ್‌ಸಿ 4255, ಆರ್‌ಎಫ್‌ಸಿ 6594 и ಆರ್‌ಎಫ್‌ಸಿ 7479. ಎರಡನೆಯದು PGP ಬಳಸಿಕೊಂಡು ಕೀ ವಿನಿಮಯಕ್ಕಾಗಿ OPENPGPKEY ನಮೂದು (ಆರ್‌ಎಫ್‌ಸಿ 7929) ಅಂತಿಮವಾಗಿ, ಮೂರನೆಯದು SMIMEA ದಾಖಲೆಯಾಗಿದೆ (ಆರ್‌ಎಫ್‌ಸಿಯಲ್ಲಿ ಪ್ರಮಾಣಿತವನ್ನು ಔಪಚಾರಿಕಗೊಳಿಸಲಾಗಿಲ್ಲ, ಇದೆ ಅದರ ಕರಡು ಮಾತ್ರ) S/MIME ಮೂಲಕ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೀ ವಿನಿಮಯಕ್ಕಾಗಿ.

DANE ನ ಸಮಸ್ಯೆ ಏನು

ಮೇ ಮಧ್ಯದಲ್ಲಿ, DNS-OARC ಸಮ್ಮೇಳನವನ್ನು ನಡೆಸಲಾಯಿತು (ಇದು ಲಾಭರಹಿತ ಸಂಸ್ಥೆಯಾಗಿದ್ದು, ಭದ್ರತೆ, ಸ್ಥಿರತೆ ಮತ್ತು ಡೊಮೇನ್ ನೇಮ್ ಸಿಸ್ಟಮ್ನ ಅಭಿವೃದ್ಧಿಯೊಂದಿಗೆ ವ್ಯವಹರಿಸುತ್ತದೆ). ಫಲಕಗಳಲ್ಲಿ ಒಂದಾದ ತಜ್ಞರು ತೀರ್ಮಾನಕ್ಕೆ ಬಂದರುಬ್ರೌಸರ್‌ಗಳಲ್ಲಿನ DANE ತಂತ್ರಜ್ಞಾನವು ವಿಫಲವಾಗಿದೆ (ಕನಿಷ್ಠ ಅದರ ಪ್ರಸ್ತುತ ಅನುಷ್ಠಾನದಲ್ಲಿ). ಸಮ್ಮೇಳನದಲ್ಲಿ ಪ್ರಸ್ತುತಪಡಿಸಿ ಜೆಫ್ ಹಸ್ಟನ್, ಪ್ರಮುಖ ಸಂಶೋಧನಾ ವಿಜ್ಞಾನಿ ಆಪ್ನಿಕ್, ಐದು ಪ್ರಾದೇಶಿಕ ಇಂಟರ್ನೆಟ್ ರಿಜಿಸ್ಟ್ರಾರ್‌ಗಳಲ್ಲಿ ಒಬ್ಬರು, ಪ್ರತಿಕ್ರಿಯಿಸಿದರು DANE ಬಗ್ಗೆ "ಸತ್ತ ತಂತ್ರಜ್ಞಾನ".

ಜನಪ್ರಿಯ ಬ್ರೌಸರ್‌ಗಳು DANE ಬಳಸಿಕೊಂಡು ಪ್ರಮಾಣಪತ್ರ ದೃಢೀಕರಣವನ್ನು ಬೆಂಬಲಿಸುವುದಿಲ್ಲ. ಮಾರುಕಟ್ಟೆಯಲ್ಲಿ ವಿಶೇಷ ಪ್ಲಗಿನ್‌ಗಳಿವೆ, ಇದು TLSA ದಾಖಲೆಗಳ ಕಾರ್ಯವನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ, ಆದರೆ ಅವರ ಬೆಂಬಲವೂ ಸಹ ಕ್ರಮೇಣ ನಿಲ್ಲಿಸಿ.

ಬ್ರೌಸರ್‌ಗಳಲ್ಲಿ DANE ವಿತರಣೆಯೊಂದಿಗಿನ ಸಮಸ್ಯೆಗಳು DNSSEC ಮೌಲ್ಯೀಕರಣ ಪ್ರಕ್ರಿಯೆಯ ಉದ್ದದೊಂದಿಗೆ ಸಂಬಂಧ ಹೊಂದಿವೆ. SSL ಪ್ರಮಾಣಪತ್ರದ ದೃಢೀಕರಣವನ್ನು ದೃಢೀಕರಿಸಲು ಸಿಸ್ಟಮ್ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಲೆಕ್ಕಾಚಾರಗಳನ್ನು ಮಾಡಲು ಒತ್ತಾಯಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಸಂಪನ್ಮೂಲಕ್ಕೆ ಮೊದಲು ಸಂಪರ್ಕಿಸುವಾಗ DNS ಸರ್ವರ್‌ಗಳ ಸಂಪೂರ್ಣ ಸರಪಳಿಯ ಮೂಲಕ (ಮೂಲ ವಲಯದಿಂದ ಹೋಸ್ಟ್ ಡೊಮೇನ್‌ಗೆ) ಹೋಗಿ.

/ಅನ್‌ಸ್ಪ್ಲಾಶ್/ ಕೇಲಿ ಡೈಕ್ಸ್ಟ್ರಾ

ಯಾಂತ್ರಿಕ ವ್ಯವಸ್ಥೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಮೊಜಿಲ್ಲಾ ಈ ನ್ಯೂನತೆಯನ್ನು ತೊಡೆದುಹಾಕಲು ಪ್ರಯತ್ನಿಸಿತು DNSSEC ಚೈನ್ ವಿಸ್ತರಣೆ TLS ಗಾಗಿ. ದೃಢೀಕರಣದ ಸಮಯದಲ್ಲಿ ಕ್ಲೈಂಟ್ ನೋಡಬೇಕಾದ DNS ದಾಖಲೆಗಳ ಸಂಖ್ಯೆಯನ್ನು ಇದು ಕಡಿಮೆ ಮಾಡಬೇಕಾಗಿತ್ತು. ಆದಾಗ್ಯೂ, ಅಭಿವೃದ್ಧಿ ಗುಂಪಿನಲ್ಲಿ ಭಿನ್ನಾಭಿಪ್ರಾಯಗಳು ಉದ್ಭವಿಸಿದವು, ಅದನ್ನು ಪರಿಹರಿಸಲಾಗಲಿಲ್ಲ. ಇದರ ಪರಿಣಾಮವಾಗಿ, ಮಾರ್ಚ್ 2018 ರಲ್ಲಿ IETF ಅನುಮೋದಿಸಿದರೂ ಯೋಜನೆಯನ್ನು ಕೈಬಿಡಲಾಯಿತು.

DANE ಕಡಿಮೆ ಜನಪ್ರಿಯತೆಗೆ ಮತ್ತೊಂದು ಕಾರಣವೆಂದರೆ ಪ್ರಪಂಚದಲ್ಲಿ DNSSEC ಯ ಕಡಿಮೆ ಪ್ರಚಲಿತವಾಗಿದೆ - ಕೇವಲ 19% ಸಂಪನ್ಮೂಲಗಳು ಅದರೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ. DANE ಅನ್ನು ಸಕ್ರಿಯವಾಗಿ ಉತ್ತೇಜಿಸಲು ಇದು ಸಾಕಾಗುವುದಿಲ್ಲ ಎಂದು ತಜ್ಞರು ಅಭಿಪ್ರಾಯಪಟ್ಟಿದ್ದಾರೆ.

ಹೆಚ್ಚಾಗಿ, ಉದ್ಯಮವು ವಿಭಿನ್ನ ದಿಕ್ಕಿನಲ್ಲಿ ಅಭಿವೃದ್ಧಿ ಹೊಂದುತ್ತದೆ. SSL/TLS ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಪರಿಶೀಲಿಸಲು DNS ಅನ್ನು ಬಳಸುವ ಬದಲು, ಮಾರುಕಟ್ಟೆ ಆಟಗಾರರು ಬದಲಿಗೆ DNS-over-TLS (DoT) ಮತ್ತು DNS-over-HTTPS (DoH) ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು ಪ್ರಚಾರ ಮಾಡುತ್ತಾರೆ. ನಮ್ಮ ಒಂದರಲ್ಲಿ ನಾವು ಎರಡನೆಯದನ್ನು ಉಲ್ಲೇಖಿಸಿದ್ದೇವೆ ಹಿಂದಿನ ವಸ್ತುಗಳು ಹಬ್ರೆ ಮೇಲೆ. ಅವರು DNS ಸರ್ವರ್‌ಗೆ ಬಳಕೆದಾರರ ವಿನಂತಿಗಳನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತಾರೆ ಮತ್ತು ಪರಿಶೀಲಿಸುತ್ತಾರೆ, ದಾಳಿಕೋರರು ಡೇಟಾವನ್ನು ವಂಚನೆ ಮಾಡುವುದನ್ನು ತಡೆಯುತ್ತಾರೆ. ವರ್ಷದ ಆರಂಭದಲ್ಲಿ, DoT ಆಗಲೇ ಇತ್ತು ಅಳವಡಿಸಲಾಗಿದೆ ಅದರ ಸಾರ್ವಜನಿಕ DNS ಗಾಗಿ Google ಗೆ. DANE ಗೆ ಸಂಬಂಧಿಸಿದಂತೆ, ತಂತ್ರಜ್ಞಾನವು "ತಡಿಗೆ ಹಿಂತಿರುಗಲು" ಸಾಧ್ಯವಾಗುತ್ತದೆಯೇ ಮತ್ತು ಇನ್ನೂ ವ್ಯಾಪಕವಾಗಿ ಹರಡುತ್ತದೆಯೇ ಎಂಬುದನ್ನು ಭವಿಷ್ಯದಲ್ಲಿ ನೋಡಬೇಕಾಗಿದೆ.

ಹೆಚ್ಚಿನ ಓದುವಿಕೆಗಾಗಿ ನಾವು ಇನ್ನೇನು ಹೊಂದಿದ್ದೇವೆ:

ಐಟಿ ಮೂಲಸೌಕರ್ಯ ನಿರ್ವಹಣೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸುವುದು ಹೇಗೆ - ಮೂರು ಪ್ರವೃತ್ತಿಗಳನ್ನು ಚರ್ಚಿಸಲಾಗುತ್ತಿದೆ
JMAP ಎಂಬುದು ತೆರೆದ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿದ್ದು ಅದು ಇಮೇಲ್‌ಗಳನ್ನು ವಿನಿಮಯ ಮಾಡುವಾಗ IMAP ಅನ್ನು ಬದಲಾಯಿಸುತ್ತದೆ.

ಅಪ್ಲಿಕೇಶನ್ ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಇಂಟರ್ಫೇಸ್ನೊಂದಿಗೆ ಹೇಗೆ ಉಳಿಸುವುದು
1cloud.ru ನ ಉದಾಹರಣೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಕ್ಲೌಡ್ ಸೇವೆಯಲ್ಲಿ DevOps
ಕ್ಲೌಡ್ ಆರ್ಕಿಟೆಕ್ಚರ್ ವಿಕಸನ 1 ಕ್ಲೌಡ್

1 ಕ್ಲೌಡ್ ತಾಂತ್ರಿಕ ಬೆಂಬಲ ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ?
ಕ್ಲೌಡ್ ತಂತ್ರಜ್ಞಾನಗಳ ಬಗ್ಗೆ ಪುರಾಣಗಳು

ಮೂಲ: www.habr.com