Бид DNS ашиглан домэйн нэрийг баталгаажуулах DANE технологи гэж юу болох, яагаад үүнийг хөтчүүдэд өргөн ашигладаггүй талаар ярилцдаг.
/Usplash/
DANE гэж юу вэ
Гэрчилгээжүүлэх байгууллагууд (CAs) нь
Ийм нөхцөл байдлаас зайлсхийхийн тулд хэдэн жилийн өмнө IETF
DANE (DNS-based Authentication of Named Entities) нь SSL сертификатын хүчинтэй байдлыг хянахын тулд DNSSEC (Нэр системийн аюулгүй байдлын өргөтгөлүүд) ашиглах боломжийг олгодог техникийн үзүүлэлтүүдийн багц юм. DNSSEC нь хаягийг хууран мэхлэх халдлагыг багасгадаг домэйн нэрийн системийн өргөтгөл юм. Эдгээр хоёр технологийг ашиглан вэбмастер эсвэл үйлчлүүлэгч DNS бүсийн операторуудын аль нэгтэй холбогдож, ашиглаж буй гэрчилгээний хүчинтэй эсэхийг баталгаажуулах боломжтой.
Үндсэндээ DANE нь өөрөө гарын үсэг зурдаг гэрчилгээний үүрэг гүйцэтгэдэг (түүний найдвартай байдлын баталгаа нь DNSSEC юм) бөгөөд CA-ийн чиг үүргийг гүйцэтгэнэ.
Яаж энэ ажлыг хийдэг
DANE-ийн тодорхойлолтыг доор тайлбарласан болно
Үйлчлүүлэгч интернет дэх сайт руу холбогдож, гэрчилгээгээ DNS оператороос хүлээн авсан "хуулбар"-тай харьцуулдаг. Хэрэв тэдгээр нь таарч байвал нөөцийг найдвартай гэж үзнэ.
DANE вики хуудас нь TCP 443 порт дээр example.org руу илгээсэн DNS хүсэлтийн дараах жишээг өгдөг:
IN TLSA _443._tcp.example.org
Хариулт нь дараах байдалтай байна.
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE нь TLSA-аас бусад DNS бичлэгүүдтэй ажилладаг хэд хэдэн өргөтгөлтэй. Эхнийх нь SSH холболт дээрх түлхүүрүүдийг баталгаажуулах SSHFP DNS бичлэг юм. Үүнд тайлбарласан болно
DANE-д ямар асуудал байна
5-р сарын дундуур DNS-OARC бага хурал болсон (энэ нь домэйн нэрийн системийн аюулгүй байдал, тогтвортой байдал, хөгжлийн асуудал эрхэлдэг ашгийн бус байгууллага юм). Самбаруудын нэг дээр мэргэжилтнүүд
Алдартай хөтчүүд DANE ашиглан гэрчилгээний баталгаажуулалтыг дэмждэггүй. Зах зээл дээр
тусгай залгаасууд байдаг , энэ нь TLSA бүртгэлүүдийн функцийг илчлэхээс гадна тэдгээрийн дэмжлэгийг харуулдагаажмаар зогсох .
Хөтөч дээрх DANE түгээлтийн асуудал нь DNSSEC баталгаажуулалтын процессын урттай холбоотой байдаг. Систем нь SSL сертификатын жинхэнэ эсэхийг баталгаажуулахын тулд криптографийн тооцоолол хийхээс өөр аргагүйд хүрч, эх үүсвэрт анх холбогдох үед DNS серверүүдийн бүхэл бүтэн сүлжээг (эх бүсээс хост домэйн хүртэл) дамждаг.
/Usplash/
Mozilla механизмыг ашиглан энэ дутагдлыг арилгахыг оролдсон
DANE-ийн алдар нэр бага байгаагийн бас нэг шалтгаан нь дэлхий даяар DNSSEC-ийн тархалт бага байдаг -
Аж үйлдвэр өөр чиглэлд хөгжих магадлалтай. SSL/TLS гэрчилгээг шалгахын тулд DNS ашиглахын оронд зах зээлд оролцогчид DNS-over-TLS (DoT) болон DNS-over-HTTPS (DoH) протоколуудыг сурталчлах болно. Сүүлчийн талаар бид нэгэн нийтлэлдээ дурдсан
Цааш уншихад бидэнд өөр юу байна:
Мэдээллийн технологийн дэд бүтцийн менежментийг хэрхэн автоматжуулах вэ - гурван чиг хандлагыг хэлэлцэх
JMAP - имэйл солилцох үед IMAP-ыг орлох нээлттэй протокол
Хэрэглээний програмчлалын интерфейсээр хэрхэн хадгалах вэ
1cloud.ru-ийн жишээг ашиглан үүлэн үйлчилгээнд DevOps
Үүлний архитектурын хувьсал 1cloud
1Cloud техникийн дэмжлэг хэрхэн ажилладаг вэ?
Үүл технологийн тухай домог
Эх сурвалж: www.habr.com