Биз DANE технологиясы DNS аркылуу домендик аттарды аутентификациялоо үчүн эмне экендигин жана эмне үчүн ал браузерлерде кеңири колдонулбагандыгы жөнүндө сүйлөшөбүз.
/Usplash/
DANE деген эмне
Күбөлөндүрүү органдары (CA) уюмдар болуп саналат криптографиялык күбөлүк . Алар өздөрүнүн электрондук кол тамгасын коюп, алардын аныктыгын тастыкташат. Бирок, кээде күбөлүктөрдү бузуулар менен берилген жагдайлар пайда болот. Мисалы, өткөн жылы Google Symantec сертификаттарынын компромиссине байланыштуу "ишенимсиздик процедурасын" баштаган (биз бул окуяны блогубузда кеңири чагылдырдык - и ).
Мындай жагдайларды болтурбоо үчүн, бир нече жыл мурун IETF DANE технологиясы (бирок ал браузерлерде кеңири колдонулбайт - бул эмне үчүн болгонун кийинчерээк сүйлөшөбүз).
DANE (DNS негизиндеги аныктыгын текшерүү) бул SSL сертификаттарынын жарактуулугун көзөмөлдөө үчүн DNSSEC (Аты-жөнү тутумунун коопсуздук кеңейтүүлөрү) колдонууга мүмкүндүк берген спецификациялардын жыйындысы. DNSSEC бул даректерди бурмалоо чабуулдарын азайтуучу домендик аталыштар системасынын кеңейтүүсү. Бул эки технологияны колдонуу менен веб-мастер же кардар DNS зонасынын операторлорунун бири менен байланышып, колдонулуп жаткан сертификаттын жарактуулугун ырастай алат.
Негизи, DANE өз алдынча кол коюлган сертификаттын ролун аткарат (анын ишенимдүүлүгүнүн гаранты - DNSSEC) жана CA функцияларын толуктайт.
Бул кандай иштейт
DANE спецификациясы сүрөттөлгөн . Документке ылайык, в жаңы түрү кошулду - TLSA. Ал өткөрүлүп жаткан сертификат, берилүүчү маалыматтардын өлчөмү жана түрү, ошондой эле маалыматтардын өзү жөнүндө маалыматтарды камтыйт. Вебмастер сертификаттын санариптик бармагын түзүп, ага DNSSEC менен кол коет жана аны TLSAга жайгаштырат.
Кардар Интернеттеги сайтка туташып, анын сертификатын DNS операторунан алынган "көчүрмө" менен салыштырат. Эгерде алар дал келсе, анда ресурс ишенимдүү деп эсептелет.
DANE вики баракчасы TCP 443 портунда example.org сайтына DNS сурамынын төмөнкү мисалын берет:
IN TLSA _443._tcp.example.orgЖооп мындай көрүнөт:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANEде TLSAдан башка DNS жазуулары менен иштеген бир нече кеңейтүүлөр бар. Биринчиси, SSH байланыштарындагы ачкычтарды текшерүү үчүн SSHFP DNS жазуусу. Ал сүрөттөлгөн , и . Экинчиси PGP аркылуу ачкыч алмашуу үчүн OPENPGPKEY жазуусу (). Акыр-аягы, үчүнчү - SMIMEA рекорду (стандарт RFCде формалдуу эмес, бар ) S/MIME аркылуу криптографиялык ачкыч алмашуу үчүн.
DANE менен кандай көйгөй бар
Май айынын ортосунда DNS-OARC конференциясы болуп өттү (бул коопсуздук, туруктуулук жана домендик аталыштар системасын өнүктүрүү менен алектенген коммерциялык эмес уюм). Панелдердин биринде эксперттер браузерлердеги DANE технологиясы ишке ашпай калды (жок дегенде азыркы учурда). Конференцияда катышуучу Джефф Хьюстон, алдыңкы изилдөөчү , беш аймактык Интернет-регистраторлордун бири, DANE жөнүндө "өлүк технология" катары.
Популярдуу браузерлер DANE аркылуу сертификаттын аутентификациясын колдобойт. Базарда , бул TLSA жазууларынын функционалдуулугун ачып, ошондой эле алардын колдоосун көрсөтөт .
Браузерлерде DANE бөлүштүрүү көйгөйлөрү DNSSEC текшерүү процессинин узактыгы менен байланышкан. Система SSL сертификатынын аныктыгын тастыктоо үчүн криптографиялык эсептөөлөрдү жүргүзүүгө жана ресурска биринчи жолу кошулганда DNS серверлеринин бүт чынжырынан (тамыр аймагынан хост доменине чейин) өтүүгө мажбур.
/Usplash/
Mozilla механизмин колдонуу менен бул кемчиликти жоюуга аракет кылган TLS үчүн. Бул кардар аутентификация учурунда издеши керек болгон DNS жазууларынын санын азайтышы керек болчу. Бирок өнүктүрүү тобунун ичинде чечүүгө мүмкүн болбогон пикир келишпестиктер пайда болду. Натыйжада, долбоор 2018-жылдын март айында IETF тарабынан жактырылганына карабастан, четке кагылган.
DANEнин популярдуулугунун дагы бир себеби, дүйнөдө DNSSECтин аз таралышы - . Эксперттер бул DANEди активдүү жайылтуу үчүн жетиштүү эмес деп эсептешкен.
Сыягы, тармак башка багытта өнүгөт. SSL/TLS сертификаттарын текшерүү үчүн DNSти колдонуунун ордуна, рыноктун оюнчулары DNS-over-TLS (DoT) жана DNS-over-HTTPS (DoH) протоколдорун жайылтат. Акыркысын биз бирибизде айтканбыз Habré боюнча. Алар DNS серверине колдонуучунун суроо-талаптарын шифрлеп, текшерип, чабуулчулардын маалыматтарды бурмалоосуна жол бербейт. Жылдын башында, DoT буга чейин эле Коомдук DNS үчүн Google'га. DANEге келсек, технология "ээрге кайра кире алабы" жана дагы эле кеңири жайыла алабы, аны келечекте көрүүгө болот.
Андан ары окуу үчүн бизде дагы эмне бар:
Source: www.habr.com