He whakaaro: kua rahua te hangarau DANE mo nga kaitirotiro
Ka korero matou he aha te hangarau DANE mo te whakamotuhēhē ingoa rohe mā te whakamahi i te DNS me te aha e kore e whakamahia whānuitia i roto i nga kaitirotiro.
Ko nga Mana Tiwhikete (CA) he whakahaere e kua taumau tiwhikete tohu Tiwhikete SSL. Ka hoatu e ratou o raatau waitohu hiko ki runga, hei whakapumau i to raatau pono. Heoi ano, i etahi wa ka puta mai nga ahuatanga ka tukuna nga tiwhikete me nga takahi. Hei tauira, i tera tau i timata a Google i tetahi "tikanga whakaheke" mo nga tiwhikete Symantec na runga i o raatau whakaraerae (i korerohia tenei korero i roto i ta maatau blog - wa и два).
Hei karo i nga ahuatanga penei, i etahi tau ki muri ko te IETF i timata te whakawhanake Hangarau DANE (engari kaore i te whakamahia nuitia i roto i nga kaitirotiro - ka korero tatou mo te aha i tupu ai tenei i muri mai).
Ko te DANE (DNS-based Authentication of Nameed Entities) he huinga tohu e taea ai e koe te whakamahi i te DNSSEC (Name System Security Extensions) ki te whakahaere i te mana o nga tiwhikete SSL. Ko te DNSSEC he toronga ki te Pūnaha Ingoa Rohe e whakaiti ana i nga whakaeke tinihanga. Ma te whakamahi i enei hangarau e rua, ka taea e te rangatira tukutuku, te kaihoko ranei te whakapā atu ki tetahi o nga kaiwhakahaere rohe DNS me te whakaū i te mana o te tiwhikete e whakamahia ana.
Ko te tikanga, ka mahi a DANE hei tiwhikete haina-whaiaro (ko te kaitiaki o tona pono ko DNSSEC) me te whakakii i nga mahi a te CA.
Nahea teie ohipa
Ko te korero a DANE e whakaahuatia ana i roto i RFC6698. E ai ki te tuhinga, in Nga rekoata rauemi DNS i taapirihia he momo hou - TLSA. Kei roto nga korero mo te tiwhikete e whakawhitihia ana, te rahi me te momo o nga raraunga e whakawhitia ana, me nga raraunga ano. Ka hangaia e te kaiwhakahaere tukutuku he tohu matimati o te tiwhikete, ka hainatia ki te DNSSEC, ka waiho ki te TLSA.
Ka hono te kiritaki ki tetahi pae i runga i te Ipurangi me te whakataurite i tana tiwhikete ki te "kape" i riro mai i te kaiwhakahaere DNS. Ki te taurite, ka kiia te rauemi he pono.
Kei te wharangi wiki DANE te tauira e whai ake nei mo te tono DNS ki example.org i runga i te tauranga TCP 443:
IN TLSA _443._tcp.example.org
Ko te ahua o te whakautu penei:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
He maha nga toronga a DANE e mahi ana me nga rekoata DNS i tua atu i te TLSA. Ko te tuatahi ko te rekoata DNS SSHFP mo te whakamana i nga taviri mo nga hononga SSH. Kei te whakaahuatia i roto i RFC4255, RFC6594 и RFC7479. Ko te tuarua ko te urunga OPENPGPKEY mo te whakawhiti matua ma te whakamahi i te PGP (RFC7929). Ka mutu, ko te tuatoru ko te rekoata SMIMEA (kaore te paerewa i whakamanahia i te RFC, kei reira he tauira noa iho) mo te whakawhiti matua cryptographic ma S/MIME.
He aha te raru o DANE
I waenganui o Mei, i tu te huihuinga DNS-OARC (he whakahaere kore-pai tenei e pa ana ki te haumarutanga, te pumau me te whakawhanaketanga o te punaha ingoa rohe). Nga tohunga mo tetahi o nga panui ka tae ki te mutungakua rahua te hangarau DANE i roto i nga kaitirotiro (i te iti rawa o tana whakatinanatanga o naianei). Kei te hui a Geoff Huston, Kairangataiao Rangahau Matua HE WHAKAMAHI, tetahi o nga rehita ipurangi e rima a rohe, whakahoki mo DANE hei "hangarau mate".
Karekau nga kaitirotiro rongonui e tautoko i te whakamotuhēhēnga tiwhikete mā te whakamahi i te DANE. I runga i te maakete he mono motuhake, e whakaatu ana i te mahi o nga rekoata TLSA, engari ano hoki to raatau tautoko āta mutu.
Ko nga raruraru me te tohatoha DANE i roto i nga kaitirotiro e hono ana ki te roa o te tukanga whakamana DNSSEC. Ka akiakihia te punaha ki te hanga i nga tatauranga taapiri hei whakaū i te pono o te tiwhikete SSL me te haere i roto i te mekameka katoa o nga kaiwhakarato DNS (mai i te rohe pakiaka ki te rohe manaaki) i te wa tuatahi e hono ana ki tetahi rauemi.
I ngana a Mozilla ki te whakakore i tenei raru ma te whakamahi i te miihini DNSSEC Chain Toronga mo TLS. Ko te whakaaro he whakaiti i te maha o nga rekoata DNS me tirotirohia e te kiritaki i te wa motuhēhēnga. Heoi, i puta nga tautohetohe i roto i te roopu whanaketanga kaore i taea te whakatau. No reira, i whakarerea te kaupapa, ahakoa i whakaaetia e te IETF i te Maehe 2018.
Ko tetahi atu take mo te iti o te rongonui o DANE ko te iti o te DNSSEC i te ao - 19% anake o nga rauemi e mahi tahi ana. I whakaaro nga tohunga kare i ranea tenei hei whakatairanga kaha i te DANE.
Ko te nuinga o te waa, ka whanake te umanga ki tetahi huarahi rereke. Engari ki te whakamahi i te DNS ki te manatoko i nga tiwhikete SSL/TLS, ma nga kaitakaro maakete e whakatairanga i nga tikanga DNS-over-TLS (DoT) me DNS-over-HTTPS (DoH). I whakahuahia e matou te whakamutunga i roto i tetahi o taatau rauemi o mua i runga i a Habré. Ka whakamuna me te manatoko i nga tono a nga kaiwhakamahi ki te tūmau DNS, hei aukati i nga kaiwhaiwhai ki te tinihanga i nga raraunga. I te timatanga o te tau, kua tae kee a DoT whakatinana ki a Google mo tana DNS Public. Mo DANE, mena ka taea e te hangarau te "hoki mai ki roto i te noho" ka horapa tonu ka kitea tonutia a muri ake nei.