Miresaka momba ny teknolojia DANE izahay amin'ny fanamarinana ny anaran-tsehatra amin'ny fampiasana DNS sy ny antony tsy ampiasaina betsaka amin'ny navigateur.
/Unsplash/
Inona no atao hoe DANE
Ny Certification Authority (CA) dia fikambanana izay taratasy fanamarinana kriptografika . Nametraka sonia elektronika teo amin'izy ireo izy ireo, nanamarina ny maha-azo itokiana azy. Na izany aza, indraindray dia misy toe-javatra miseho rehefa omena taratasy fanamarinana misy fanitsakitsahana. Ohatra, tamin'ny taon-dasa dia nanomboka "procedure detrust" ho an'ny mari-pankasitrahana Symantec i Google tamin'ny taon-dasa noho ny marimaritra iraisana (nataonay tamin'ny antsipiriany ity tantara ity tao amin'ny bilaoginay - ΠΈ ).
Mba hisorohana ny toe-javatra toy izany, taona maromaro lasa izay, ny IETF Ny teknolojia DANE (saingy tsy ampiasaina betsaka amin'ny navigateur - hiresaka momba ny antony nitrangan'izany taty aoriana).
DANE (DNS-based Authentication of Named Entities) dia andian-dahatsoratra izay ahafahanao mampiasa DNSSEC (Name System Security Extensions) mba hifehezana ny maha-ara-dalΓ na ny fanamarinana SSL. DNSSEC dia fanitarana ny Domain Name System izay manamaivana ny fanafihana fanodinkodinana adiresy. Amin'ny fampiasana ireo teknolojia roa ireo, ny webmaster na ny mpanjifa dia afaka mifandray amin'ny iray amin'ireo mpandraharaha DNS zone ary manamafy ny maha-ara-dalΓ na ny taratasy fanamarinana ampiasaina.
Amin'ny ankapobeny, DANE dia miasa toy ny taratasy fanamarinana nosoniavin'ny tena ( DNSSEC no miantoka ny fahamendrehany) ary mameno ny asan'ny CA.
Inona no manao izany asa
Ny famaritana DANE dia voalaza ao amin'ny . Araka ny antontan-taratasy, in Nampiana karazana vaovao - TLSA. Ahitana fampahalalana momba ny taratasy fanamarinana afindra, ny habeny sy ny karazana data afindra, ary koa ny angon-drakitra. Ny webmaster dia mamorona dizitaly dizitaly amin'ny taratasy fanamarinana, manasonia izany amin'ny DNSSEC, ary mametraka izany ao amin'ny TLSA.
Mifandray amin'ny tranokala iray amin'ny Internet ny mpanjifa ary mampitaha ny taratasy fanamarinana azy amin'ny "kopia" azo avy amin'ny mpandraharaha DNS. Raha mifanaraka izy ireo dia heverina ho azo itokisana ny loharano.
Ny pejy wiki DANE dia manome ity ohatra manaraka ity amin'ny fangatahana DNS amin'ny example.org amin'ny TCP port 443:
IN TLSA _443._tcp.example.orgToy izao ny valiny:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE dia manana fanitarana maromaro izay miasa miaraka amin'ny firaketana DNS ankoatry ny TLSA. Ny voalohany dia ny firaketana DNS SSHFP ho fanamarinana ny fanalahidy amin'ny fifandraisana SSH. Voalaza ao aminβny , ΠΈ . Ny faharoa dia ny fidirana OPENPGPKEY ho an'ny fifanakalozana fanalahidy mampiasa PGP (). Farany, ny fahatelo dia ny firaketana SMIMEA (tsy misy ny fenitra ao amin'ny RFC, misy ) ho an'ny fifanakalozana fanalahidy kriptografika amin'ny alΓ lan'ny S/MIME.
Inona no olana amin'i DANE
Tamin'ny tapaky ny volana Mey dia natao ny fihaonambe DNS-OARC (fikambanana tsy mitady tombony izay misahana ny fiarovana, ny fitoniana ary ny fampandrosoana ny rafitra anaran-tsehatra). Manam-pahaizana amin'ny iray amin'ireo tontonana fa tsy nahomby ny teknolojia DANE amin'ny navigateur (farafaharatsiny amin'ny fampiharana azy ankehitriny). Manatrika ny fihaonambe Geoff Huston, mpahay siansa momba ny fikarohana , iray amin'ireo rejisitra dimy amin'ny Internet, momba an'i DANE ho "teknolojia maty".
Ny navigateur malaza dia tsy manohana ny fanamarinana fanamarinana amin'ny fampiasana DANE. Eny an-tsena , izay manambara ny fiasan'ny firaketana TLSA, fa koa ny fanohanan'izy ireo .
Ny olana amin'ny fizarana DANE amin'ny navigateur dia mifandray amin'ny halavan'ny dingana fanamarinana DNSSEC. Ny rafitra dia voatery manao kajy kriptografika mba hanamafisana ny maha-azo itokiana ny mari-pankasitrahana SSL ary mandeha amin'ny rojo manontolo amin'ny mpizara DNS (avy amin'ny faritra faka mankany amin'ny sehatra mpampiantrano) rehefa mifandray voalohany amin'ny loharano iray.
/Unsplash/
Mozilla dia nanandrana nanafoana an'io tsy fahampiana io tamin'ny alΓ lan'ny mekanika ho an'ny TLS. Noheverina fa hampihena ny isan'ny rakitra DNS izay tsy maintsy nojeren'ny mpanjifa nandritra ny fanamarinana. Na izany aza, nisy ny tsy fitovian-kevitra teo anivonβny vondrona fampandrosoana izay tsy voavaha. Vokany, nilaozana ny tetikasa, na dia nekenβny IETF aza izany taminβny martsa 2018.
Ny antony iray hafa mahatonga ny lazany ambany amin'ny DANE dia ny fihanaky ny DNSSEC eran'izao tontolo izao - . Nihevitra ny manam-pahaizana fa tsy ampy izany mba hampiroboroboana ny DANE.
Azo inoana fa hivoatra amin'ny lalana hafa ny indostria. Raha tokony hampiasa DNS hanamarina ny mari-pankasitrahana SSL/TLS, dia hampiroborobo ny protocols DNS-over-TLS (DoT) sy DNS-over-HTTPS (DoH) ny mpilalao tsena. Nolazainay tao amin'ny iray taminay ity farany ity amin'ny HabrΓ©. Manao encryption sy manamarina ny fangatahan'ny mpampiasa amin'ny mpizara DNS izy ireo, manakana ny mpanafika tsy hamitaka angon-drakitra. Tamin'ny fiandohan'ny taona dia efa nisy ny DoT ho an'ny Google ho an'ny DNS Public. Raha ny momba an'i DANE, dia mbola ho hita amin'ny ho avy na ho afaka "hiverina ao anaty lasely" ny teknolojia ary mbola hiparitaka.
Inona koa no azontsika vakiana bebe kokoa:
Source: www.habr.com