ມີຄວາມຄິດເຫັນ: ເທກໂນໂລຍີ DANE ສໍາລັບຕົວທ່ອງເວັບໄດ້ລົ້ມເຫລວ

ພວກເຮົາສົນທະນາກ່ຽວກັບສິ່ງທີ່ເທກໂນໂລຍີ DANE ແມ່ນສໍາລັບການຢັ້ງຢືນຊື່ໂດເມນໂດຍໃຊ້ DNS ແລະເປັນຫຍັງມັນຈຶ່ງບໍ່ຖືກນໍາໃຊ້ຢ່າງກວ້າງຂວາງໃນຕົວທ່ອງເວັບ.

/unsplash/ Paulius Dragunas

DANE ແມ່ນຫຍັງ

ອົງການຢັ້ງຢືນ (CAs) ແມ່ນອົງການຈັດຕັ້ງທີ່ ມີສ່ວນພົວພັນ ໃບຢັ້ງຢືນການເຂົ້າລະຫັດ ໃບຮັບຮອງ SSL. ເຂົາເຈົ້າໃສ່ລາຍເຊັນອີເລັກໂທຣນິກຂອງເຂົາເຈົ້າ, ຢືນຢັນຄວາມແທ້ຈິງຂອງເຂົາເຈົ້າ. ຢ່າງໃດກໍ່ຕາມ, ບາງຄັ້ງສະຖານະການເກີດຂື້ນເມື່ອໃບຢັ້ງຢືນຖືກອອກດ້ວຍການລະເມີດ. ຕົວຢ່າງ, ປີທີ່ຜ່ານມາ Google ໄດ້ລິເລີ່ມ "ຂັ້ນຕອນການໄວ້ວາງໃຈ" ສໍາລັບໃບຢັ້ງຢືນ Symantec ເນື່ອງຈາກການປະນີປະນອມຂອງພວກເຂົາ (ພວກເຮົາໄດ້ກວມເອົາເລື່ອງນີ້ຢ່າງລະອຽດໃນ blog ຂອງພວກເຮົາ - ເວລາ и два).

ເພື່ອຫຼີກເວັ້ນການສະຖານະການດັ່ງກ່າວ, ຫຼາຍປີກ່ອນຫນ້ານີ້ IETF ເລີ່ມ​ການ​ພັດ​ທະ​ນາ​ ເທກໂນໂລຍີ DANE (ແຕ່ວ່າມັນບໍ່ໄດ້ຖືກນໍາໃຊ້ຢ່າງກວ້າງຂວາງໃນຕົວທ່ອງເວັບ - ພວກເຮົາຈະເວົ້າກ່ຽວກັບເຫດຜົນນີ້ໃນພາຍຫລັງ).

DANE (DNS-based Authentication of Named Entities) ແມ່ນຊຸດຂອງສະເພາະທີ່ອະນຸຍາດໃຫ້ທ່ານໃຊ້ DNSSEC (Name System Security Extensions) ເພື່ອຄວບຄຸມຄວາມຖືກຕ້ອງຂອງໃບຢັ້ງຢືນ SSL. DNSSEC ແມ່ນສ່ວນຂະຫຍາຍໃຫ້ກັບລະບົບຊື່ໂດເມນທີ່ຫຼຸດຜ່ອນການໂຈມຕີການຫຼອກລວງທີ່ຢູ່. ການນໍາໃຊ້ສອງເທກໂນໂລຍີນີ້, ຜູ້ຄຸ້ມຄອງເວັບຫຼືລູກຄ້າສາມາດຕິດຕໍ່ກັບຫນຶ່ງຂອງຜູ້ໃຫ້ບໍລິການເຂດ DNS ແລະຢືນຢັນຄວາມຖືກຕ້ອງຂອງໃບຢັ້ງຢືນທີ່ຖືກນໍາໃຊ້.

ໂດຍພື້ນຖານແລ້ວ, DANE ເຮັດຫນ້າທີ່ເປັນໃບຢັ້ງຢືນການລົງນາມດ້ວຍຕົນເອງ (ຜູ້ຮັບປະກັນຄວາມຫນ້າເຊື່ອຖືຂອງມັນແມ່ນ DNSSEC) ແລະປະກອບຫນ້າທີ່ຂອງ CA.

ວິທີການເຮັດວຽກນີ້

ຂໍ້ມູນຈໍາເພາະຂອງ DANE ໄດ້ຖືກອະທິບາຍໄວ້ໃນ RFC6698. ອີງຕາມເອກະສານ, ໃນ ບັນທຶກຊັບພະຍາກອນ DNS ປະເພດໃຫມ່ໄດ້ຖືກເພີ່ມ - TLSA. ມັນປະກອບດ້ວຍຂໍ້ມູນກ່ຽວກັບໃບຢັ້ງຢືນທີ່ຖືກໂອນ, ຂະຫນາດແລະປະເພດຂອງຂໍ້ມູນທີ່ຖືກໂອນ, ເຊັ່ນດຽວກັນກັບຂໍ້ມູນຂອງມັນເອງ. ຜູ້ຄຸ້ມຄອງເວັບສ້າງຮູບໂປ້ດິຈິຕອນຂອງໃບຢັ້ງຢືນ, ເຊັນມັນດ້ວຍ DNSSEC, ແລະວາງໄວ້ໃນ TLSA.

ລູກຄ້າເຊື່ອມຕໍ່ກັບເວັບໄຊທ໌ໃດຫນຶ່ງໃນອິນເຕີເນັດແລະປຽບທຽບໃບຢັ້ງຢືນຂອງມັນກັບ "ສໍາເນົາ" ທີ່ໄດ້ຮັບຈາກ DNS operator. ຖ້າພວກເຂົາກົງກັນ, ຫຼັງຈາກນັ້ນຊັບພະຍາກອນຖືກຖືວ່າເປັນຄວາມໄວ້ວາງໃຈ.

ຫນ້າ wiki DANE ສະຫນອງຕົວຢ່າງຕໍ່ໄປນີ້ຂອງການຮ້ອງຂໍ DNS ກັບ example.org ໃນ TCP port 443:

IN TLSA _443._tcp.example.org

ຄໍາຕອບເບິ່ງຄືວ່ານີ້:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE ມີຫຼາຍສ່ວນຂະຫຍາຍທີ່ເຮັດວຽກກັບບັນທຶກ DNS ນອກເຫນືອຈາກ TLSA. ທໍາອິດແມ່ນບັນທຶກ SSHFP DNS ສໍາລັບການກວດສອບລະຫັດໃນການເຊື່ອມຕໍ່ SSH. ມັນໄດ້ຖືກອະທິບາຍຢູ່ໃນ RFC4255, RFC6594 и RFC7479. ອັນທີສອງແມ່ນການເຂົ້າ OPENPGPKEY ສໍາລັບການແລກປ່ຽນທີ່ສໍາຄັນໂດຍໃຊ້ PGP (RFC7929). ສຸດທ້າຍ, ທີສາມແມ່ນບັນທຶກ SMIMEA (ມາດຕະຖານບໍ່ໄດ້ຖືກປະຕິບັດຢ່າງເປັນທາງການໃນ RFC, ມີ ພຽງແຕ່ຮ່າງຂອງມັນ) ສໍາລັບການແລກປ່ຽນລະຫັດລັບຜ່ານ S/MIME.

DANE ມີບັນຫາຫຍັງ

ໃນກາງເດືອນພຶດສະພາ, ກອງປະຊຸມ DNS-OARC ໄດ້ຈັດຂຶ້ນ (ນີ້ແມ່ນອົງການທີ່ບໍ່ຫວັງຜົນກໍາໄລທີ່ຈັດການກັບຄວາມປອດໄພ, ຄວາມຫມັ້ນຄົງແລະການພັດທະນາລະບົບຊື່ໂດເມນ). ຜູ້ຊ່ຽວຊານໃນຫນຶ່ງຂອງຫມູ່ຄະນະ ມາສະຫລຸບວ່າເທກໂນໂລຍີ DANE ໃນຕົວທ່ອງເວັບໄດ້ລົ້ມເຫລວ (ຢ່າງຫນ້ອຍໃນການປະຕິບັດໃນປະຈຸບັນຂອງມັນ). ນໍາສະເຫນີຢູ່ໃນກອງປະຊຸມ Geoff Huston, ຜູ້ນໍາວິທະຍາສາດຄົ້ນຄ້ວາ APnic, ຫນຶ່ງໃນຫ້າຜູ້ລົງທະບຽນອິນເຕີເນັດພາກພື້ນ, ຕອບສະຫນອງ ກ່ຽວກັບ DANE ເປັນ "ເຕັກໂນໂລຢີທີ່ຕາຍແລ້ວ".

ຕົວທ່ອງເວັບທີ່ນິຍົມບໍ່ສະຫນັບສະຫນູນການຮັບຮອງໃບຢັ້ງຢືນໂດຍໃຊ້ DANE. ໃນຕະຫຼາດ ມີ plugins ພິເສດ, ເຊິ່ງເປີດເຜີຍການເຮັດວຽກຂອງບັນທຶກ TLSA, ແຕ່ຍັງສະຫນັບສະຫນູນຂອງພວກເຂົາ ຄ່ອຍໆຢຸດ.

ບັນຫາກ່ຽວກັບການແຈກຢາຍ DANE ໃນຕົວທ່ອງເວັບແມ່ນກ່ຽວຂ້ອງກັບຄວາມຍາວຂອງຂະບວນການກວດສອບ DNSSEC. ລະບົບຖືກບັງຄັບໃຫ້ເຮັດການຄິດໄລ່ການເຂົ້າລະຫັດລັບເພື່ອຢືນຢັນຄວາມຖືກຕ້ອງຂອງໃບຢັ້ງຢືນ SSL ແລະຜ່ານລະບົບຕ່ອງໂສ້ທັງຫມົດຂອງເຄື່ອງແມ່ຂ່າຍ DNS (ຈາກເຂດຮາກໄປຫາໂດເມນເຈົ້າພາບ) ເມື່ອທໍາອິດເຊື່ອມຕໍ່ກັບຊັບພະຍາກອນ.

/unsplash/ Kaley Dykstra

Mozilla ພະຍາຍາມລົບລ້າງຂໍ້ບົກຜ່ອງນີ້ໂດຍໃຊ້ກົນໄກ ການຂະຫຍາຍຕ່ອງໂສ້ DNSSEC ສໍາລັບ TLS. ມັນຄວນຈະຫຼຸດລົງຈໍານວນບັນທຶກ DNS ທີ່ລູກຄ້າຕ້ອງຊອກຫາໃນລະຫວ່າງການກວດສອບ. ຢ່າງໃດກໍ່ຕາມ, ຄວາມຂັດແຍ້ງເກີດຂື້ນພາຍໃນກຸ່ມພັດທະນາທີ່ບໍ່ສາມາດແກ້ໄຂໄດ້. ດັ່ງນັ້ນ, ໂຄງການດັ່ງກ່າວໄດ້ຖືກປະຖິ້ມ, ເຖິງແມ່ນວ່າມັນໄດ້ຮັບການອະນຸມັດໂດຍ IETF ໃນເດືອນມີນາ 2018.

ເຫດຜົນອີກອັນຫນຶ່ງສໍາລັບຄວາມນິຍົມຕໍ່າຂອງ DANE ແມ່ນອັດຕາການລ້າຂອງ DNSSEC ຕ່ໍາໃນໂລກ - ພຽງແຕ່ 19% ຂອງຊັບພະຍາກອນເຮັດວຽກກັບມັນ. ຜູ້ຊ່ຽວຊານຮູ້ສຶກວ່ານີ້ບໍ່ພຽງພໍທີ່ຈະສົ່ງເສີມ DANE ຢ່າງຈິງຈັງ.

ສ່ວນຫຼາຍອາດຈະ, ອຸດສາຫະກໍາຈະພັດທະນາໃນທິດທາງທີ່ແຕກຕ່າງກັນ. ແທນທີ່ຈະໃຊ້ DNS ເພື່ອກວດສອບໃບຢັ້ງຢືນ SSL/TLS, ຜູ້ຫຼິ້ນຕະຫຼາດຈະສົ່ງເສີມໂປຣໂຕຄອນ DNS-over-TLS (DoT) ແລະ DNS-over-HTTPS (DoH). ພວກເຮົາໄດ້ກ່າວເຖິງອັນສຸດທ້າຍໃນຫນຶ່ງຂອງພວກເຮົາ ວັດສະດຸທີ່ຜ່ານມາ ສຸດ Habre. ພວກເຂົາເຂົ້າລະຫັດແລະກວດສອບການຮ້ອງຂໍຂອງຜູ້ໃຊ້ກັບເຄື່ອງແມ່ຂ່າຍ DNS, ປ້ອງກັນຜູ້ໂຈມຕີຈາກການປອມແປງຂໍ້ມູນ. ໃນຕອນຕົ້ນຂອງປີ, DoT ແມ່ນແລ້ວ ປະຕິບັດ ກັບ Google ສໍາລັບ DNS ສາທາລະນະຂອງມັນ. ສໍາລັບ DANE, ບໍ່ວ່າຈະເປັນເຕັກໂນໂລຢີຈະສາມາດ "ກັບຄືນສູ່ saddle" ແລະຍັງແຜ່ຂະຫຍາຍຢ່າງກວ້າງຂວາງຍັງຈະເຫັນໄດ້ໃນອະນາຄົດ.

ພວກເຮົາມີຫຍັງອີກແດ່ສໍາລັບການອ່ານເພີ່ມເຕີມ:

ວິທີການອັດຕະໂນມັດການຄຸ້ມຄອງໂຄງສ້າງພື້ນຖານ IT - ສົນທະນາສາມແນວໂນ້ມ
JMAP - ໂປໂຕຄອນເປີດທີ່ຈະປ່ຽນແທນ IMAP ເມື່ອແລກປ່ຽນອີເມວ

ວິທີການບັນທຶກດ້ວຍການໂຕ້ຕອບການຂຽນໂປລແກລມແອັບພລິເຄຊັນ
DevOps ໃນການບໍລິການຄລາວໂດຍໃຊ້ຕົວຢ່າງຂອງ 1cloud.ru
ວິວັດທະນາການຂອງສະຖາປັດຕະຍະກໍາຄລາວ 1cloud

1cloud ສະຫນັບສະຫນູນດ້ານວິຊາການເຮັດວຽກແນວໃດ?
Myths ກ່ຽວກັບເຕັກໂນໂລຊີຟັງ

ແຫຼ່ງຂໍ້ມູນ: www.habr.com