एक मत आहे: ब्राउझरसाठी DANE तंत्रज्ञान अयशस्वी झाले आहे

DNS वापरून डोमेन नावांचे प्रमाणीकरण करण्यासाठी DANE तंत्रज्ञान काय आहे आणि ते ब्राउझरमध्ये मोठ्या प्रमाणावर का वापरले जात नाही याबद्दल आम्ही बोलतो.

/स्प्लॅश/ पॉलीयस ड्रॅगनस

DANE म्हणजे काय

प्रमाणन प्राधिकरण (CAs) या संस्था आहेत गुंतलेले आहेत क्रिप्टोग्राफिक प्रमाणपत्र SSL प्रमाणपत्रे. त्यांनी त्यांची इलेक्ट्रॉनिक स्वाक्षरी त्यांच्यावर ठेवली, त्यांच्या सत्यतेची पुष्टी केली. तथापि, कधीकधी परिस्थिती उद्भवते जेव्हा प्रमाणपत्रे उल्लंघनासह जारी केली जातात. उदाहरणार्थ, गेल्या वर्षी Google ने सिमेंटेक प्रमाणपत्रांसाठी त्यांच्या तडजोडीमुळे "अविश्वास प्रक्रिया" सुरू केली (आम्ही आमच्या ब्लॉगमध्ये ही कथा तपशीलवार कव्हर केली - वेळा и два).

अशी परिस्थिती टाळण्यासाठी अनेक वर्षांपूर्वी आय.ई.टी.एफ विकसित होऊ लागले DANE तंत्रज्ञान (परंतु ते ब्राउझरमध्ये मोठ्या प्रमाणावर वापरले जात नाही - हे का घडले याबद्दल आम्ही नंतर बोलू).

DANE (DNS-आधारित ऑथेंटिकेशन ऑफ नेम्ड एंटिटीज) हा तपशीलांचा एक संच आहे जो तुम्हाला SSL प्रमाणपत्रांची वैधता नियंत्रित करण्यासाठी DNSSEC (नाव सिस्टम सुरक्षा विस्तार) वापरण्याची परवानगी देतो. DNSSEC डोमेन नेम सिस्टमचा विस्तार आहे जो अॅड्रेस स्पूफिंग हल्ले कमी करतो. या दोन तंत्रज्ञानाचा वापर करून, वेबमास्टर किंवा क्लायंट DNS झोन ऑपरेटरपैकी एकाशी संपर्क साधू शकतो आणि वापरल्या जाणार्‍या प्रमाणपत्राच्या वैधतेची पुष्टी करू शकतो.

मूलत:, DANE स्वयं-स्वाक्षरी केलेले प्रमाणपत्र म्हणून कार्य करते (त्याच्या विश्वासार्हतेची हमी DNSSEC आहे) आणि CA च्या कार्यांना पूरक आहे.

या कसे कार्य करते

DANE तपशीलामध्ये वर्णन केले आहे आरएफसी 6698. दस्तऐवजानुसार, मध्ये DNS संसाधन रेकॉर्ड एक नवीन प्रकार जोडला गेला - TLSA. त्यामध्ये हस्तांतरित केले जाणारे प्रमाणपत्र, हस्तांतरित केल्या जाणार्‍या डेटाचा आकार आणि प्रकार तसेच डेटाची माहिती असते. वेबमास्टर प्रमाणपत्राचा डिजिटल थंबप्रिंट तयार करतो, त्यावर DNSSEC सह स्वाक्षरी करतो आणि TLSA मध्ये ठेवतो.

क्लायंट इंटरनेटवरील साइटशी कनेक्ट होतो आणि त्याच्या प्रमाणपत्राची DNS ऑपरेटरकडून मिळालेल्या “कॉपी”शी तुलना करतो. जर ते जुळले तर संसाधन विश्वसनीय मानले जाते.

DANE विकी पृष्ठ TCP पोर्ट 443 वर example.org ला DNS विनंतीचे खालील उदाहरण देते:

IN TLSA _443._tcp.example.org

उत्तर असे दिसते:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE चे अनेक विस्तार आहेत जे TLSA व्यतिरिक्त DNS रेकॉर्डसह कार्य करतात. प्रथम SSH कनेक्शनवरील की प्रमाणित करण्यासाठी SSHFP DNS रेकॉर्ड आहे. मध्ये वर्णन केले आहे आरएफसी 4255, आरएफसी 6594 и आरएफसी 7479. दुसरी म्हणजे PGP वापरून की एक्सचेंजसाठी OPENPGPKEY एंट्री (आरएफसी 7929). शेवटी, तिसरा SMIMEA रेकॉर्ड आहे (आरएफसीमध्ये मानक औपचारिक नाही, तेथे आहे त्याचा फक्त मसुदा) S/MIME द्वारे क्रिप्टोग्राफिक की एक्सचेंजसाठी.

DANE मध्ये काय समस्या आहे

मेच्या मध्यात, DNS-OARC परिषद आयोजित करण्यात आली होती (ही एक ना-नफा संस्था आहे जी सुरक्षा, स्थिरता आणि डोमेन नाव प्रणालीच्या विकासाशी संबंधित आहे). पॅनेलपैकी एकावर तज्ञ निष्कर्षाप्रत आलेब्राउझरमधील DANE तंत्रज्ञान अयशस्वी झाले आहे (किमान त्याच्या सध्याच्या अंमलबजावणीमध्ये). परिषदेला उपस्थित जेफ हस्टन, प्रमुख संशोधन शास्त्रज्ञ APnic, पाच प्रादेशिक इंटरनेट निबंधकांपैकी एक, प्रतिसाद दिला DANE बद्दल "मृत तंत्रज्ञान" म्हणून.

लोकप्रिय ब्राउझर DANE वापरून प्रमाणपत्र प्रमाणीकरणास समर्थन देत नाहीत. बाजारात विशेष प्लगइन आहेत, जे TLSA रेकॉर्डची कार्यक्षमता प्रकट करतात, परंतु त्यांचे समर्थन देखील करतात हळूहळू थांबवा.

ब्राउझरमध्ये DANE वितरणातील समस्या DNSSEC प्रमाणीकरण प्रक्रियेच्या लांबीशी संबंधित आहेत. SSL प्रमाणपत्राच्या सत्यतेची पुष्टी करण्यासाठी सिस्टमला क्रिप्टोग्राफिक गणना करण्यास भाग पाडले जाते आणि प्रथम संसाधनाशी कनेक्ट करताना DNS सर्व्हरच्या संपूर्ण साखळीतून (रूट झोनपासून होस्ट डोमेनपर्यंत) जावे लागते.

/स्प्लॅश/ काले डिक्स्ट्रा

Mozilla ने यंत्रणा वापरून ही कमतरता दूर करण्याचा प्रयत्न केला DNSSEC Chain Extension TLS साठी. प्रमाणीकरणादरम्यान क्लायंटला पहावे लागणार्‍या DNS रेकॉर्डची संख्या कमी करणे अपेक्षित होते. मात्र, विकास गटात मतभेद निर्माण झाले जे सुटू शकले नाहीत. परिणामी, हा प्रकल्प सोडण्यात आला होता, जरी तो मार्च 2018 मध्ये IETF ने मंजूर केला होता.

DANE च्या कमी लोकप्रियतेचे आणखी एक कारण म्हणजे DNSSEC चा जगात कमी प्रसार - केवळ 19% संसाधने यासह कार्य करतात. तज्ञांना असे वाटले की DANE ला सक्रियपणे प्रोत्साहन देण्यासाठी हे पुरेसे नाही.

बहुधा, उद्योग वेगळ्या दिशेने विकसित होईल. SSL/TLS प्रमाणपत्रे सत्यापित करण्यासाठी DNS वापरण्याऐवजी, बाजारातील खेळाडू त्याऐवजी DNS-over-TLS (DoT) आणि DNS-over-HTTPS (DoH) प्रोटोकॉलचा प्रचार करतील. आम्ही आमच्या एका मध्ये नंतरचा उल्लेख केला आहे मागील साहित्य Habré वर. ते DNS सर्व्हरवर वापरकर्त्याच्या विनंत्या एन्क्रिप्ट करतात आणि सत्यापित करतात, आक्रमणकर्त्यांना डेटा स्पूफ करण्यापासून प्रतिबंधित करतात. वर्षाच्या सुरुवातीला दूरसंचार विभाग आधीच होता लागू केले Google ला त्याच्या सार्वजनिक DNS साठी. DANE साठी, तंत्रज्ञान "पुन्हा खोगीरात" येण्यास सक्षम होईल की नाही आणि तरीही व्यापक होईल हे भविष्यात पाहणे बाकी आहे.

आमच्याकडे पुढील वाचनासाठी आणखी काय आहे:

आयटी इन्फ्रास्ट्रक्चर मॅनेजमेंट स्वयंचलित कसे करावे - तीन ट्रेंडची चर्चा
JMAP - एक खुला प्रोटोकॉल जो ईमेलची देवाणघेवाण करताना IMAP ची जागा घेईल

ऍप्लिकेशन प्रोग्रामिंग इंटरफेससह कसे जतन करावे
1cloud.ru चे उदाहरण वापरून क्लाउड सेवेमध्ये DevOps
1क्लाउड क्लाउड आर्किटेक्चरची उत्क्रांती

1Cloud तांत्रिक समर्थन कसे कार्य करते?
क्लाउड तंत्रज्ञानाबद्दल मिथक

स्त्रोत: www.habr.com