Em diaxivin ka teknolojiya DANE ji bo rastkirina navên domainê bi karanîna DNS çi ye û çima ew bi berfirehî di gerokan de nayê bikar anîn.
/Unesplash/
DANE çi ye
Karbidestên Sertîfîkayê (CA) rêxistinên ku ne belgeya krîptografîk . Îmzaya xwe ya elektronîkî danî ser wan, rastbûna wan piştrast kir. Lêbelê, carinan dema ku sertîfîkayên bi binpêkirinan têne derxistin rewş derdikevin. Mînakî, sala borî Google ji bo sertîfîkayên Symantec ji ber lihevkirina wan "pêvajoyek bêbaweriyê" da destpêkirin (me vê çîrokê bi hûrgulî di bloga xwe de vegot - и ).
Ji bo ku ji rewşên weha dûr nekevin, çend sal berê IETF Teknolojiya DANE (lê ew bi berfirehî di gerokan de nayê bikar anîn - em ê li ser vê yekê bipeyivin ka çima paşê çêbû).
DANE (DNS-based Nasname Named Entities) komek taybetmendî ye ku destûrê dide te ku hûn DNSSEC (Pêvekên Ewlekariya Sîstema Navê) bikar bînin da ku rastdariya sertîfîkayên SSL-ê kontrol bikin. DNSSEC ji bo Pergala Navê Domainê dirêjkirinek e ku êrişên xapandina navnîşan kêm dike. Bi karanîna van her du teknolojiyên, webmaster an xerîdar dikare bi yek ji operatorên devera DNS re têkilî daynin û rastbûna sertîfîkaya ku tê bikar anîn piştrast bikin.
Di bingeh de, DANE wekî sertîfîkayek xwe-îmzakirî tevdigere (garanterê pêbaweriya wê DNSSEC e) û fonksiyonên CA-yê temam dike.
Çawa ev karê
Taybetmendiya DANE di nav de tête diyar kirin . Li gorî belgeyê, li celebek nû hate zêdekirin - TLSA. Ew agahdarî li ser sertîfîkaya ku tê veguheztin, mezinahî û celebê daneyên ku têne veguheztin, û her weha daneyên bixwe jî vedihewîne. Malpera sertîfîkayê tiliya dîjîtal a sertîfîkayê diafirîne, wê bi DNSSEC re îmze dike, û di TLSA de cîh dike.
Xerîdar bi malperek li ser Înternetê ve girêdide û sertîfîkaya wê bi "kopî"ya ku ji operatorê DNS-ê hatî wergirtin re berhev dike. Ger ew li hev bikin, wê hingê çavkanî pêbawer tê hesibandin.
Rûpelê wiki DANE mînaka jêrîn a daxwazek DNS ji example.org re li ser porta TCP 443 peyda dike:
IN TLSA _443._tcp.example.orgBersiv bi vî rengî xuya dike:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE çend pêvek hene ku ji bilî TLSA bi tomarên DNS re dixebitin. Ya yekem qeyda SSHFP DNS ye ji bo erêkirina bişkokên li ser girêdanên SSH. Ew di nav de tête diyar kirin , и . Ya duyemîn têketina OPENPGPKEY ji bo pevguhertina mifteyê bi karanîna PGP (). Di dawiyê de, ya sêyemîn qeyda SMIMEA ye (standard di RFC-ê de ne fermî ye, heye ) ji bo danûstendina mifteya krîptografî bi rêya S/MIME.
Pirsgirêka DANE çi ye
Di nîvê Gulanê de, konferansa DNS-OARC hate lidarxistin (ev rêxistinek ne-qezenc e ku bi ewlehî, aramî û pêşkeftina pergala navên domainê re mijûl dibe). Pisporên li ser yek ji panelan ku teknolojiya DANE di gerokan de têk çûye (qet nebe di pêkanîna wê ya heyî de). Di konferansê de Geoff Huston, Zanyarê Lêkolînê ya Pêşeroj , yek ji pênc qeydkarên înternetê yên herêmî, li ser DANE wekî "teknolojiya mirî".
Gerokên populer erêkirina sertîfîkayê bi karanîna DANE piştgirî nakin. Li bazarê , ku fonksiyona tomarên TLSA, lê di heman demê de piştgirîya wan jî eşkere dike .
Pirsgirêkên belavkirina DANE-ê di gerokan de bi dirêjahiya pêvajoya pejirandina DNSSEC ve girêdayî ye. Pergal neçar e ku hesabên krîptografî bike da ku rastiya sertîfîkaya SSL-ê piştrast bike û gava yekem bi çavkaniyekê ve girêdide tevaya zincîra serverên DNS-ê (ji qada root heya qada mêvandar) derbas bike.
/Unesplash/
Mozilla hewl da ku vê kêmasiyê bi karanîna mekanîzmayê ji holê rake ji bo TLS. Diviyabû ku hejmara tomarên DNS-ê yên ku xerîdar di dema pejirandinê de lê bigere kêm bike. Lêbelê, nakokî di nav koma pêşkeftinê de derketin ku nekarin werin çareser kirin. Di encamê de, proje hate terikandin, her çend ew di Adara 2018 de ji hêla IETF ve hate pejirandin.
Sedemek din a populerbûna kêm a DANE belavbûna kêm a DNSSEC li cîhanê ye - . Pisporan pê hesiyan ku ev yek têrê nake ku bi awayekî aktîf DANE were pêşxistin.
Bi îhtimaleke mezin, pîşesazî dê di rêgezek cûda de pêş bikeve. Li şûna ku DNS bikar bînin ji bo verastkirina sertîfîkayên SSL / TLS, lîstikvanên bazarê dê li şûna protokolên DNS-ser-TLS (DoT) û DNS-ser-HTTPS (DoH) pêşve bibin. Me di yek ji xwe de behsa ya paşîn kir li ser Habré. Ew daxwazên bikarhêner ji servera DNS-ê re şîfre dikin û verast dikin, rê li ber êrîşkeran digirin ku daneyan bixapînin. Di destpêka salê de, DoT berê bû ji Google re ji bo DNS-ya xweya Giştî. Di derbarê DANE de, gelo dê teknolojiyê bikaribe "vegere ser çolê" û hîn jî berbelav bibe, di pêşerojê de tê dîtin.
Ji bo xwendina bêtir me çi heye:
Source: www.habr.com