Бид DNS ашиглан домэйн нэрийг баталгаажуулах DANE технологи гэж юу болох, яагаад үүнийг хөтчүүдэд өргөн ашигладаггүй талаар ярилцдаг.
/Usplash/
DANE гэж юу вэ
Гэрчилгээжүүлэх байгууллагууд (CAs) нь криптографийн гэрчилгээ . Тэд цахим гарын үсгээ зурж, жинхэнэ эсэхийг нь баталгаажуулсан. Гэсэн хэдий ч заримдаа зөрчилтэй гэрчилгээ олгох нөхцөл байдал үүсдэг. Жишээлбэл, Google өнгөрсөн жил Symantec гэрчилгээнүүдийн эвдрэлийн улмаас "итгэлцлийг үгүйсгэх журам"-ыг эхлүүлсэн (бид энэ түүхийг блогтоо дэлгэрэнгүй бичсэн - и ).
Ийм нөхцөл байдлаас зайлсхийхийн тулд хэдэн жилийн өмнө IETF DANE технологи (гэхдээ энэ нь хөтөч дээр өргөн хэрэглэгддэггүй - яагаад ийм зүйл болсныг бид дараа нь ярих болно).
DANE (DNS-based Authentication of Named Entities) нь SSL сертификатын хүчинтэй байдлыг хянахын тулд DNSSEC (Нэр системийн аюулгүй байдлын өргөтгөлүүд) ашиглах боломжийг олгодог техникийн үзүүлэлтүүдийн багц юм. DNSSEC нь хаягийг хууран мэхлэх халдлагыг багасгадаг домэйн нэрийн системийн өргөтгөл юм. Эдгээр хоёр технологийг ашиглан вэбмастер эсвэл үйлчлүүлэгч DNS бүсийн операторуудын аль нэгтэй холбогдож, ашиглаж буй гэрчилгээний хүчинтэй эсэхийг баталгаажуулах боломжтой.
Үндсэндээ DANE нь өөрөө гарын үсэг зурдаг гэрчилгээний үүрэг гүйцэтгэдэг (түүний найдвартай байдлын баталгаа нь DNSSEC юм) бөгөөд CA-ийн чиг үүргийг гүйцэтгэнэ.
Яаж энэ ажлыг хийдэг
DANE-ийн тодорхойлолтыг доор тайлбарласан болно . Баримт бичгийн дагуу, онд шинэ төрөл нэмэгдсэн - TLSA. Энэ нь дамжуулж буй гэрчилгээ, шилжүүлж буй өгөгдлийн хэмжээ, төрөл, мөн өгөгдөлтэй холбоотой мэдээллийг агуулдаг. Вэбмастер нь гэрчилгээний дижитал эрхий хурууны хээг үүсгэж, DNSSEC-тэй гарын үсэг зурж, TLSA-д байрлуулна.
Үйлчлүүлэгч интернет дэх сайт руу холбогдож, гэрчилгээгээ DNS оператороос хүлээн авсан "хуулбар"-тай харьцуулдаг. Хэрэв тэдгээр нь таарч байвал нөөцийг найдвартай гэж үзнэ.
DANE вики хуудас нь TCP 443 порт дээр example.org руу илгээсэн DNS хүсэлтийн дараах жишээг өгдөг:
IN TLSA _443._tcp.example.orgХариулт нь дараах байдалтай байна.
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE нь TLSA-аас бусад DNS бичлэгүүдтэй ажилладаг хэд хэдэн өргөтгөлтэй. Эхнийх нь SSH холболт дээрх түлхүүрүүдийг баталгаажуулах SSHFP DNS бичлэг юм. Үүнд тайлбарласан болно , и . Хоёр дахь нь PGP ( ашиглан түлхүүр солилцох OPENPGPKEY оруулга юм.). Эцэст нь, гурав дахь нь SMIMEA бүртгэл юм (стандарт нь RFC-д албан ёсоор батлагдаагүй байдаг ) S/MIME-ээр криптограф түлхүүр солилцох зориулалттай.
DANE-д ямар асуудал байна
5-р сарын дундуур DNS-OARC бага хурал болсон (энэ нь домэйн нэрийн системийн аюулгүй байдал, тогтвортой байдал, хөгжлийн асуудал эрхэлдэг ашгийн бус байгууллага юм). Самбаруудын нэг дээр мэргэжилтнүүд Хөтөч дээрх DANE технологи амжилтгүй болсон (ядаж одоогийн хэрэгжиж байгаа үед). Судалгааны тэргүүлэх эрдэмтэн Жеофф Хьюстон бага хуралд илтгэл тавьлаа , бүс нутгийн таван интернет бүртгэгчийн нэг, DANE-ийг "үхсэн технологи" гэж үздэг.
Алдартай хөтчүүд DANE ашиглан гэрчилгээний баталгаажуулалтыг дэмждэггүй. Зах зээл дээр , энэ нь TLSA бүртгэлүүдийн функцийг илчлэхээс гадна тэдгээрийн дэмжлэгийг харуулдаг .
Хөтөч дээрх DANE түгээлтийн асуудал нь DNSSEC баталгаажуулалтын процессын урттай холбоотой байдаг. Систем нь SSL сертификатын жинхэнэ эсэхийг баталгаажуулахын тулд криптографийн тооцоолол хийхээс өөр аргагүйд хүрч, эх үүсвэрт анх холбогдох үед DNS серверүүдийн бүхэл бүтэн сүлжээг (эх бүсээс хост домэйн хүртэл) дамждаг.
/Usplash/
Mozilla механизмыг ашиглан энэ дутагдлыг арилгахыг оролдсон TLS-ийн хувьд. Энэ нь баталгаажуулалтын явцад үйлчлүүлэгч хайх ёстой DNS бичлэгийн тоог багасгах ёстой байсан. Гэсэн хэдий ч хөгжлийн бүлэг дотор шийдвэрлэх боломжгүй санал зөрөлдөөн үүссэн. Үүний үр дүнд 2018 оны XNUMX-р сард IETF-аас зөвшөөрөл авсан ч төслийг орхисон.
DANE-ийн алдар нэр бага байгаагийн бас нэг шалтгаан нь дэлхий даяар DNSSEC-ийн тархалт бага байдаг - . Энэ нь DANE-г идэвхтэй сурталчлахад хангалтгүй гэж мэргэжилтнүүд үзсэн байна.
Аж үйлдвэр өөр чиглэлд хөгжих магадлалтай. SSL/TLS гэрчилгээг шалгахын тулд DNS ашиглахын оронд зах зээлд оролцогчид DNS-over-TLS (DoT) болон DNS-over-HTTPS (DoH) протоколуудыг сурталчлах болно. Сүүлчийн талаар бид нэгэн нийтлэлдээ дурдсан Хабре дээр. Тэд DNS серверт хандсан хэрэглэгчийн хүсэлтийг шифрлэж, баталгаажуулж, халдагчдыг өгөгдлийг хууран мэхлэхээс сэргийлдэг. Оны эхэнд DoT аль хэдийн байсан Нийтийн DNS-ээ Google рүү илгээнэ үү. DANE-ийн хувьд энэ технологи нь "эмээл рүүгээ буцаж орох" боломжтой бөгөөд өргөн тархсан хэвээр байх эсэх нь ирээдүйд харагдах хэвээр байна.
Цааш уншихад бидэнд өөр юу байна:
Эх сурвалж: www.habr.com