ထင်မြင်ချက်တစ်ခုရှိသည်- ဘရောက်ဆာများအတွက် DANE နည်းပညာ မအောင်မြင်ပါ။

DNS ကိုအသုံးပြု၍ ဒိုမိန်းအမည်များကို စစ်မှန်ကြောင်းသက်သေပြခြင်းအတွက် DANE နည်းပညာသည် အဘယ်အရာဖြစ်သည်နှင့် ၎င်းကို ဘရောက်ဆာများတွင် အဘယ်ကြောင့် တွင်တွင်ကျယ်ကျယ် အသုံးမပြုရကြောင်းကို ကျွန်ုပ်တို့ ဆွေးနွေးကြသည်။

/Unsplash/ Paulius Dragunas

DANE ဆိုတာဘာလဲ

Certification Authority (CAs) သည် ထိုအဖွဲ့အစည်းများဖြစ်သည်။ စေ့စပ်ကြသည်။ cryptographic လက်မှတ် SSL လက်မှတ်များ. သူတို့ရဲ့ စစ်မှန်ကြောင်းကို သက်သေပြပြီး သူတို့ရဲ့ အီလက်ထရွန်းနစ် လက်မှတ်ကို သူတို့ အပေါ်မှာ တင်ထားပါတယ်။ သို့သော် တစ်ခါတစ်ရံတွင် လက်မှတ်များကို ချိုးဖောက်မှုများဖြင့် ထုတ်ပေးသည့်အခါ အခြေအနေများ ဖြစ်ပေါ်လာတတ်သည်။ ဥပမာအားဖြင့်၊ ယမန်နှစ်က Google သည် ၎င်းတို့၏ အပေးအယူကြောင့် Symantec လက်မှတ်များအတွက် "ယုံကြည်မှုဆိုင်ရာ လုပ်ငန်းစဉ်" ကို စတင်ခဲ့သည် (ကျွန်ုပ်တို့သည် ဤဇာတ်လမ်းကို ကျွန်ုပ်တို့၏ဘလော့ဂ်တွင် အသေးစိတ်ဖော်ပြထားသည် - အချိန် и два).

ထိုသို့သောအခြေအနေများကိုရှောင်ရှားရန်, လွန်ခဲ့သောနှစ်ပေါင်းများစွာက IETF စတင်ဖွံ့ဖြိုးလာခဲ့သည်။ DANE နည်းပညာ (ဒါပေမယ့် ဘရောက်ဆာတွေမှာ တွင်တွင်ကျယ်ကျယ် အသုံးမချပါဘူး - ဘာကြောင့် ဒီလိုဖြစ်ခဲ့ရတာလဲဆိုတာကို နောက်ပိုင်းမှာ ပြောပြပါ့မယ်)။

DANE (DNS-based Authentication of Nameed Entities) သည် SSL လက်မှတ်များ၏ တရားဝင်မှုကို ထိန်းချုပ်ရန် DNSSEC (Name System Security Extensions) ကို အသုံးပြုရန် ခွင့်ပြုသည့် သတ်မှတ်ချက်များ အစုတစ်ခု ဖြစ်သည်။ DNSSEC သည် လိပ်စာအတုအယောင်တိုက်ခိုက်မှုများကို လျှော့ချပေးသည့် Domain Name System အတွက် တိုးချဲ့မှုတစ်ခုဖြစ်သည်။ ဤနည်းပညာနှစ်ခုကို အသုံးပြုခြင်းဖြင့်၊ ဝဘ်မာစတာ သို့မဟုတ် ဖောက်သည်တစ်ဦးသည် DNS ဇုန်အော်ပရေတာများထဲမှ တစ်ခုကို ဆက်သွယ်နိုင်ပြီး အသုံးပြုနေသည့် လက်မှတ်၏တရားဝင်မှုကို အတည်ပြုနိုင်သည်။

အခြေခံအားဖြင့်၊ DANE သည် ကိုယ်တိုင်ရေးထိုးထားသော လက်မှတ် (၎င်း၏ယုံကြည်စိတ်ချရမှုကို အာမခံပေးသူမှာ DNSSEC ဖြစ်သည်) နှင့် CA ၏ လုပ်ငန်းဆောင်တာများကို ဖြည့်စွက်ပေးပါသည်။

ဘယ်လိုဤလုပ်ငန်းကိုတတ်

DANE သတ်မှတ်ချက်တွင် ဖော်ပြထားပါသည်။ RFC6698. စာတမ်းအရ၊ DNS အရင်းအမြစ်မှတ်တမ်းများ အမျိုးအစားအသစ် - TLSA ကို ထည့်ထားသည်။ ၎င်းတွင် လက်မှတ်လွှဲပြောင်းခြင်းဆိုင်ရာ အချက်အလက်၊ လွှဲပြောင်းခံရသည့် ဒေတာအရွယ်အစားနှင့် အမျိုးအစားအပြင် ဒေတာကိုယ်တိုင်လည်း ပါဝင်သည်။ ဝဘ်မာစတာသည် လက်မှတ်၏ ဒစ်ဂျစ်တယ်လက်ဗွေကို ဖန်တီးကာ DNSSEC ဖြင့် လက်မှတ်ထိုးပြီး TLSA တွင် နေရာပေးသည်။

ဖောက်သည်သည် အင်တာနက်ပေါ်ရှိ ဝဘ်ဆိုက်တစ်ခုသို့ ချိတ်ဆက်ပြီး DNS အော်ပရေတာမှ လက်ခံရရှိသည့် “မိတ္တူ” နှင့် ၎င်း၏လက်မှတ်ကို နှိုင်းယှဉ်သည်။ ကိုက်ညီပါက အရင်းအမြစ်ကို ယုံကြည်သည်ဟု ယူဆပါသည်။

DANE wiki စာမျက်နှာသည် TCP port 443 ရှိ example.org သို့ DNS တောင်းဆိုမှု၏ အောက်ပါဥပမာကို ပံ့ပိုးပေးသည်-

IN TLSA _443._tcp.example.org

အဖြေသည် ဤကဲ့သို့ဖြစ်သည်-

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE တွင် TLSA မှလွဲ၍ အခြား DNS မှတ်တမ်းများနှင့် လုပ်ဆောင်နိုင်သော တိုးချဲ့မှုများစွာရှိသည်။ ပထမအချက်မှာ SSH ချိတ်ဆက်မှုများတွင် သော့များကို တရားဝင်စစ်ဆေးရန်အတွက် SSHFP DNS မှတ်တမ်းဖြစ်သည်။ တွင် ဖော်ပြထားပါသည်။ RFC4255, RFC6594 и RFC7479. ဒုတိယမှာ PGP ကို ​​အသုံးပြု၍ သော့လဲလှယ်မှုအတွက် OPENPGPKEY ဝင်ရောက်မှုဖြစ်သည်။RFC7929) နောက်ဆုံး၊ တတိယအချက်မှာ SMIMEA စံချိန် (စံနှုန်းကို RFC တွင် တရားဝင်မဖော်ပြထားပေ။ မူကြမ်းတစ်ခုသာဖြစ်သည်။) S/MIME မှတဆင့် ကုဒ်ဝှက်ထားသော သော့လဲလှယ်မှုအတွက်။

DANE မှာ ဘာပြဿနာရှိလို့လဲ။

မေလလယ်တွင်၊ DNS-OARC ကွန်ဖရင့်ကို ကျင်းပခဲ့သည် (၎င်းသည် လုံခြုံရေး၊ တည်ငြိမ်မှုနှင့် ဒိုမိန်းအမည်စနစ်၏ ဖွံ့ဖြိုးတိုးတက်မှုနှင့် ပတ်သက်သော အကျိုးအမြတ်မယူသော အဖွဲ့အစည်းဖြစ်သည်)။ အကွက်များထဲမှ ကျွမ်းကျင်သူများ နိဂုံးချုပ်လာသည်။ဘရောက်ဆာများတွင် DANE နည်းပညာသည် ကျရှုံးခဲ့သည် (အနည်းဆုံး ၎င်း၏ လက်ရှိအကောင်အထည်ဖော်မှုတွင်)။ Geoff Huston, Leading Research Scientist ညီလာခံတွင် တက်ရောက်ခဲ့ပါသည်။ APnicဒေသတွင်း အင်တာနက် မှတ်ပုံတင်သူ ငါးဦးအနက်၊ တုံ့ပြန်ခဲ့သည်။ DANE ကို "သေလွန်သောနည်းပညာ" အဖြစ်။

လူကြိုက်များသောဘရောက်ဆာများသည် DANE ကို အသုံးပြု၍ လက်မှတ်စစ်မှန်ကြောင်းအထောက်အထားကို မပံ့ပိုးပါ။ စျေးကွက်တွင် အထူးပလပ်အင်များရှိသည်။TLSA မှတ်တမ်းများ၏ လုပ်ဆောင်နိုင်စွမ်းကို ထုတ်ဖော်ပြသပေးသော၊ ၎င်းတို့၏ ပံ့ပိုးမှုလည်း ဖြစ်သည်။ ဖြည်းဖြည်းချင်း ရပ်ပါ။.

ဘရောက်ဆာများတွင် DANE ဖြန့်ဖြူးမှုနှင့် ပြဿနာများသည် DNSSEC အတည်ပြုခြင်းလုပ်ငန်းစဉ်၏ကြာချိန်နှင့် ဆက်စပ်နေသည်။ စနစ်သည် SSL လက်မှတ်၏ စစ်မှန်ကြောင်းကို အတည်ပြုရန်နှင့် အရင်းအမြစ်တစ်ခုသို့ ပထမဆုံးချိတ်ဆက်သောအခါတွင် DNS ဆာဗာများ၏ ကွင်းဆက်တစ်ခုလုံး (အမြစ်ဇုန်မှနေရပ်အိမ်ရှင်ဒိုမိန်းသို့) ဖြတ်သန်းသွားရန်အတွက် စနစ်သည် ကုဒ်ဖော်ပြချက်ဆိုင်ရာ တွက်ချက်မှုများကို မဖြစ်မနေပြုလုပ်ရသည်။

/Unsplash/ Kaley Dykstra

Mozilla သည် ယန္တရားသုံးပြီး ဤအားနည်းချက်ကို ဖယ်ရှားရန် ကြိုးစားခဲ့သည်။ DNSSEC ကွင်းဆက်တိုးချဲ့မှု TLS အတွက် စစ်မှန်ကြောင်းအထောက်အထားပြနေစဉ်တွင် client မှရှာဖွေရမည့် DNS မှတ်တမ်းအရေအတွက်ကို လျှော့ချသင့်သည်။ သို့သော်လည်း ဖွံ့ဖြိုးရေးအဖွဲ့အတွင်း သဘောထားကွဲလွဲမှုများ ပေါ်ပေါက်ခဲ့ပြီး မဖြေရှင်းနိုင်ပေ။ ရလဒ်အနေဖြင့် 2018 ခုနှစ် မတ်လတွင် IETF မှ အတည်ပြုခဲ့သော်လည်း စီမံကိန်းကို ဖျက်သိမ်းခဲ့သည်။

DANE ၏လူကြိုက်များမှုနည်းပါးခြင်း၏နောက်ထပ်အကြောင်းရင်းတစ်ခုမှာ ကမ္ဘာပေါ်တွင် DNSSEC ၏ပျံ့နှံ့မှုနည်းပါးခြင်းဖြစ်သည်- အရင်းအမြစ်များ၏ 19% ကသာ ၎င်းနှင့်အလုပ်လုပ်သည်။. DANE ကို တက်ကြွစွာ မြှင့်တင်ရန် လုံလောက်မှု မရှိဟု ကျွမ်းကျင်သူများက ယူဆကြသည်။

ဖြစ်နိုင်ချေများသောအားဖြင့် စက်မှုလုပ်ငန်းသည် မတူညီသောဦးတည်ချက်ဖြင့် ဖွံ့ဖြိုးတိုးတက်လာမည်ဖြစ်သည်။ SSL/TLS လက်မှတ်များကို အတည်ပြုရန် DNS ကို အသုံးပြုမည့်အစား၊ စျေးကွက်ကစားသမားများသည် DNS-over-TLS (DoT) နှင့် DNS-over-HTTPS (DoH) ပရိုတိုကောများကို မြှင့်တင်မည်ဖြစ်သည်။ ကြှနျုပျတို့အတှကျ ကြှနျုပျတို့အတှကျ ကြှနျုပျတို့တစျခုမှာ ကြှနျုပျတို့ပွောပွပါတယျ ယခင်ပစ္စည်းများ Habre ပေါ်တွင် ၎င်းတို့သည် တိုက်ခိုက်သူများသည် ဒေတာအတုအယောင်များကို တားဆီးကာကွယ်ပေးသည့် DNS ဆာဗာသို့ အသုံးပြုသူတောင်းဆိုမှုများကို ကုဒ်ဝှက်ပြီး အတည်ပြုပါသည်။ နှစ်အစမှာ DoT ဖြစ်နေပြီ။ အကောင်အထည်ဖော်ခဲ့သည်။ ၎င်း၏ Public DNS အတွက် Google သို့ DANE အတွက်၊ နည်းပညာသည် "ကုန်းနှီးထဲသို့ပြန်ဝင်နိုင်သည်" နှင့်ကျယ်ပြန့်လာမည်ကိုအနာဂတ်တွင်ကြည့်ရှုရန်ကျန်ရှိနေသေးသည်။

နောက်ထပ်ဘာတွေဆက်ဖတ်ရမလဲ။

အိုင်တီအခြေခံအဆောက်အအုံစီမံခန့်ခွဲမှုကို အလိုအလျောက်လုပ်နည်း - ခေတ်ရေစီးကြောင်းသုံးခုကို ဆွေးနွေးခြင်း။
JMAP - အီးမေးလ်များဖလှယ်သည့်အခါ IMAP ကိုအစားထိုးမည့် ပွင့်လင်းသောပရိုတိုကော

Application Programming Interface ဖြင့် သိမ်းဆည်းနည်း
1cloud.ru ၏ ဥပမာကို အသုံးပြု၍ cloud ဝန်ဆောင်မှုတစ်ခုရှိ DevOps
cloud ဗိသုကာ 1cloud ၏ဆင့်ကဲဖြစ်စဉ်

1cloud နည်းပညာပံ့ပိုးမှု မည်သို့အလုပ်လုပ်သနည်း။
cloud နည်းပညာများအကြောင်း ဒဏ္ဍာရီများ

source: www.habr.com