Loquimur de technologia quae DANE est ad authenticando nomina domain utens DNS et quare in navigatoribus non late adhibetur.
/Unsplash/
Quid est DANE?
Auctoritates Certification (CAs) sunt instituta quae cryptographic certificatorium . Suam subscriptionem electronicam in iis ponunt, suam authenticitatem confirmantes. Interdum tamen condiciones oriuntur cum testimonia de violationibus eduntur. Exempli causa, anno praeterito Google rationem "procurationis diffidentium" incepit pro testimoniorum Symantecorum ob eorum compromissum (hanc fabulam singillatim in stilo nostro conteximus - ΠΈ ).
Ad huiusmodi condiciones vitandas, ante aliquot annos IETF DANE technicae artis (sed late in navigatoribus non est usus - de qua re hoc postea accidit loquemur).
DANE (DNS-substructio authenticitatis entitatum nominatarum) est copia specificationum quae te permittit uti DNSSEC (Nomen Ratio Securitatis Extensiones) ad validitatem testimonium SSL regendum. DNSSEC extensio est ad Systema Domain Nominis, quae oppugnationes electronicae minimizes spoofing. His duabus technologiis utens, webmaster vel cliens unam ex operatoribus DNS zonam contingere potest et validitatem certificamenti adhibitis confirmare.
Essentialiter, DANE sicut certificatorium auto-signatum agit (praeses fideiussoris eius est DNSSEC) et complementum functionum ipsius CA.
Quam facit hoc opus
DANE specification is described in . Secundum documentum, in novum genus adscriptum est - TLSA. Informationes continet de translatione certificamenti, magnitudine ac speciebus notitiarum translationis, necnon notitia ipsa. Webmaster digitum pollicem certificamenti creat, cum DNSSEC illud signat et in TLSA ponit.
Cliens locum in Interreti coniungit et libellum suum comparat cum "exemplum" acceptum ab DNS operante. Si par, tunc confidendum putatur auxilium.
Pagina wiki DANE praebet exemplum sequentis petitionis DNS exempli.org in TCP portu 443:
IN TLSA _443._tcp.example.orgResponsum hoc spectat:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE plures extensiones habet quae opus cum DNS memorat quam TLSA. Primum est recordum SSHFP DNS ad claves confirmandas in nexus SSH. Describitur in , ΠΈ . Secundum est OPENPGPKEY viscus clavis commutationis utens PGP (). Denique tertia est recordum SMIMEA (vexillum in RFC non formalizatum est, ibi est) ) pro clavis cryptographicis per S/MIME commutatio.
Quid est problema cum DANE
Medio Maio, colloquium DNS-OARC habitum est (hoc ordo non prodest, quod de securitate, stabilitate et progressu systematis nominis domain agit). Periti in una tabulata technologia illa DANE in navigatoribus (saltem in eius exsecutione currente) defecit. Praesenti colloquio Geoff Huston, Investigationis Ducis Scientist . unus ex quinque registratoribus regionalibus interretialibus; circa DANE ut "technologia mortua".
Navigatores populares testimonium authenticas utentes DANE non sustinent. In foro quae functionem TLSA monumentorum indicant, sed etiam eorum sustentationem .
Problemata cum distributione DANE in navigatoribus longitudini processus sanationis DNSSEC coniunguntur. Systema calculi cryptographici facere cogitur ut certitudinem certificationis SSL confirmet et per totam catenam DNS servientium (a zona radicis ad domain hospes) cum auxilio primo connectatur.
/Unsplash/
Mozilla conatus hoc incommodum utens mechanism . excludere ad TLS. Putabatur numerum DNS reducere monumentis clientem in authenticas spectare. Attamen dissensiones ortae sunt intra coetus evolutionis quae solvi non poterant. Quam ob rem relictum est consilium, cum probatum sit ab IETF mense Martio MMXVIII.
Alia causa est humilitas popularis DANE in mundo DNSSEC humilis invaluit - . Senserunt periti hoc non satis esse ad strenue promovendum DANE.
Verisimile, industria in diversum evolvetur. Loco DNS utendi ad testimonium comprobandum SSL/TLS, lusores mercatus protocolla promovebunt DNS-super-TLS (DoT) et DNS-super-HTTPS (DoH) protocolla. Illud in uno ex nostris commemoravimus on Habre. Illi encrypt et cognoscere usorem petitiones DNS server, ne oppugnatores stimulo data. Ineunte anno, DoT iam erat ad Google pro DNS Publico suo. Quod DANE, num technicae "in sellam redire" possint et adhuc late diffusae restant, in futuro videbuntur.
Quid aliud adhuc lectioni habemus.
Source: www.habr.com