Ka korero matou he aha te hangarau DANE mo te whakamotuhēhē ingoa rohe mā te whakamahi i te DNS me te aha e kore e whakamahia whānuitia i roto i nga kaitirotiro.
/Tangohia/
He aha te DANE
Ko nga Mana Tiwhikete (CA) he whakahaere e tiwhikete tohu . Ka hoatu e ratou o raatau waitohu hiko ki runga, hei whakapumau i to raatau pono. Heoi ano, i etahi wa ka puta mai nga ahuatanga ka tukuna nga tiwhikete me nga takahi. Hei tauira, i tera tau i timata a Google i tetahi "tikanga whakaheke" mo nga tiwhikete Symantec na runga i o raatau whakaraerae (i korerohia tenei korero i roto i ta maatau blog - и ).
Hei karo i nga ahuatanga penei, i etahi tau ki muri ko te IETF Hangarau DANE (engari kaore i te whakamahia nuitia i roto i nga kaitirotiro - ka korero tatou mo te aha i tupu ai tenei i muri mai).
Ko te DANE (DNS-based Authentication of Nameed Entities) he huinga tohu e taea ai e koe te whakamahi i te DNSSEC (Name System Security Extensions) ki te whakahaere i te mana o nga tiwhikete SSL. Ko te DNSSEC he toronga ki te Pūnaha Ingoa Rohe e whakaiti ana i nga whakaeke tinihanga. Ma te whakamahi i enei hangarau e rua, ka taea e te rangatira tukutuku, te kaihoko ranei te whakapā atu ki tetahi o nga kaiwhakahaere rohe DNS me te whakaū i te mana o te tiwhikete e whakamahia ana.
Ko te tikanga, ka mahi a DANE hei tiwhikete haina-whaiaro (ko te kaitiaki o tona pono ko DNSSEC) me te whakakii i nga mahi a te CA.
Nahea teie ohipa
Ko te korero a DANE e whakaahuatia ana i roto i . E ai ki te tuhinga, in i taapirihia he momo hou - TLSA. Kei roto nga korero mo te tiwhikete e whakawhitihia ana, te rahi me te momo o nga raraunga e whakawhitia ana, me nga raraunga ano. Ka hangaia e te kaiwhakahaere tukutuku he tohu matimati o te tiwhikete, ka hainatia ki te DNSSEC, ka waiho ki te TLSA.
Ka hono te kiritaki ki tetahi pae i runga i te Ipurangi me te whakataurite i tana tiwhikete ki te "kape" i riro mai i te kaiwhakahaere DNS. Ki te taurite, ka kiia te rauemi he pono.
Kei te wharangi wiki DANE te tauira e whai ake nei mo te tono DNS ki example.org i runga i te tauranga TCP 443:
IN TLSA _443._tcp.example.orgKo te ahua o te whakautu penei:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
He maha nga toronga a DANE e mahi ana me nga rekoata DNS i tua atu i te TLSA. Ko te tuatahi ko te rekoata DNS SSHFP mo te whakamana i nga taviri mo nga hononga SSH. Kei te whakaahuatia i roto i , и . Ko te tuarua ko te urunga OPENPGPKEY mo te whakawhiti matua ma te whakamahi i te PGP (). Ka mutu, ko te tuatoru ko te rekoata SMIMEA (kaore te paerewa i whakamanahia i te RFC, kei reira ) mo te whakawhiti matua cryptographic ma S/MIME.
He aha te raru o DANE
I waenganui o Mei, i tu te huihuinga DNS-OARC (he whakahaere kore-pai tenei e pa ana ki te haumarutanga, te pumau me te whakawhanaketanga o te punaha ingoa rohe). Nga tohunga mo tetahi o nga panui kua rahua te hangarau DANE i roto i nga kaitirotiro (i te iti rawa o tana whakatinanatanga o naianei). Kei te hui a Geoff Huston, Kairangataiao Rangahau Matua , tetahi o nga rehita ipurangi e rima a rohe, mo DANE hei "hangarau mate".
Karekau nga kaitirotiro rongonui e tautoko i te whakamotuhēhēnga tiwhikete mā te whakamahi i te DANE. I runga i te maakete , e whakaatu ana i te mahi o nga rekoata TLSA, engari ano hoki to raatau tautoko .
Ko nga raruraru me te tohatoha DANE i roto i nga kaitirotiro e hono ana ki te roa o te tukanga whakamana DNSSEC. Ka akiakihia te punaha ki te hanga i nga tatauranga taapiri hei whakaū i te pono o te tiwhikete SSL me te haere i roto i te mekameka katoa o nga kaiwhakarato DNS (mai i te rohe pakiaka ki te rohe manaaki) i te wa tuatahi e hono ana ki tetahi rauemi.
/Tangohia/
I ngana a Mozilla ki te whakakore i tenei raru ma te whakamahi i te miihini mo TLS. Ko te whakaaro he whakaiti i te maha o nga rekoata DNS me tirotirohia e te kiritaki i te wa motuhēhēnga. Heoi, i puta nga tautohetohe i roto i te roopu whanaketanga kaore i taea te whakatau. No reira, i whakarerea te kaupapa, ahakoa i whakaaetia e te IETF i te Maehe 2018.
Ko tetahi atu take mo te iti o te rongonui o DANE ko te iti o te DNSSEC i te ao - . I whakaaro nga tohunga kare i ranea tenei hei whakatairanga kaha i te DANE.
Ko te nuinga o te waa, ka whanake te umanga ki tetahi huarahi rereke. Engari ki te whakamahi i te DNS ki te manatoko i nga tiwhikete SSL/TLS, ma nga kaitakaro maakete e whakatairanga i nga tikanga DNS-over-TLS (DoT) me DNS-over-HTTPS (DoH). I whakahuahia e matou te whakamutunga i roto i tetahi o taatau i runga i a Habré. Ka whakamuna me te manatoko i nga tono a nga kaiwhakamahi ki te tūmau DNS, hei aukati i nga kaiwhaiwhai ki te tinihanga i nga raraunga. I te timatanga o te tau, kua tae kee a DoT ki a Google mo tana DNS Public. Mo DANE, mena ka taea e te hangarau te "hoki mai ki roto i te noho" ka horapa tonu ka kitea tonutia a muri ake nei.
He aha atu taatau mo etahi atu panui:
Source: will.com