त्यहाँ एक राय छ: ब्राउजरहरूको लागि DANE प्रविधि असफल भएको छ

हामी DNS प्रयोग गरेर डोमेन नामहरू प्रमाणीकरण गर्नको लागि DANE प्रविधि के हो र यो ब्राउजरहरूमा किन व्यापक रूपमा प्रयोग गरिँदैन भन्ने बारे कुरा गर्छौं।

/ अनस्प्लास / पाउलियस ड्रेगुनास

DANE के हो

प्रमाणीकरण प्राधिकरणहरू (CAs) संगठनहरू हुन् संलग्न छन् क्रिप्टोग्राफिक प्रमाणपत्र SSL प्रमाणपत्रहरू। तिनीहरूले तिनीहरूमा आफ्नो इलेक्ट्रोनिक हस्ताक्षर राख्छन्, तिनीहरूको प्रामाणिकता पुष्टि। यद्यपि, कहिलेकाहीँ परिस्थितिहरू उत्पन्न हुन्छन् जब प्रमाणपत्रहरू उल्लङ्घनका साथ जारी गरिन्छ। उदाहरणका लागि, गत वर्ष गुगलले उनीहरूको सम्झौताको कारणले सिमेन्टेक प्रमाणपत्रहरूको लागि "अविश्वास प्रक्रिया" प्रारम्भ गर्‍यो (हामीले यस कथालाई हाम्रो ब्लगमा विस्तृत रूपमा कभर गर्यौं - पटक и два).

त्यस्ता अवस्थाबाट बच्न केही वर्षअघि आईईटीएफ विकास गर्न थाले DANE प्रविधि (तर यो ब्राउजरहरूमा व्यापक रूपमा प्रयोग गरिएको छैन - हामी पछि कुरा गर्नेछौं किन यो भयो)।

DANE (DNS-based Authentication of Named Entities) SSL प्रमाणपत्रहरूको वैधता नियन्त्रण गर्न DNSSEC (Name System Security Extensions) प्रयोग गर्न अनुमति दिने विनिर्देशहरूको सेट हो। DNSSEC डोमेन नाम प्रणालीको विस्तार हो जसले ठेगाना स्पूफिङ आक्रमणहरूलाई कम गर्छ। यी दुई प्रविधिहरू प्रयोग गरेर, वेबमास्टर वा क्लाइन्टले DNS क्षेत्र अपरेटरहरू मध्ये एकलाई सम्पर्क गर्न र प्रयोग भइरहेको प्रमाणपत्रको वैधता पुष्टि गर्न सक्छ।

अनिवार्य रूपमा, DANE ले स्व-हस्ताक्षरित प्रमाणपत्रको रूपमा कार्य गर्दछ (यसको विश्वसनीयताको ग्यारेन्टर DNSSEC हो) र CA को कार्यहरू पूरा गर्दछ।

यो कसरी काम गर्छ

DANE विशिष्टता मा वर्णन गरिएको छ RFC6698। कागजात अनुसार, मा DNS स्रोत रेकर्ड नयाँ प्रकार थपियो - TLSA। यसमा सर्टिफिकेट हस्तान्तरण गरिएको, साइज र डाटाको प्रकार, साथै डाटा आफैंको बारेमा जानकारी समावेश छ। वेबमास्टरले प्रमाणपत्रको डिजिटल थम्बप्रिन्ट सिर्जना गर्छ, यसलाई DNSSEC मार्फत हस्ताक्षर गर्छ, र TLSA मा राख्छ।

ग्राहक इन्टरनेटमा साइटमा जडान हुन्छ र DNS अपरेटरबाट प्राप्त "प्रतिलिपि" सँग यसको प्रमाणपत्र तुलना गर्दछ। यदि तिनीहरू मेल खान्छ भने, त्यसपछि संसाधन विश्वसनीय मानिन्छ।

DANE विकी पृष्ठले TCP पोर्ट 443 मा example.org मा DNS अनुरोधको निम्न उदाहरण प्रदान गर्दछ:

IN TLSA _443._tcp.example.org

जवाफ यस्तो देखिन्छ:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE सँग धेरै विस्तारहरू छन् जुन TLSA बाहेक DNS रेकर्डहरूसँग काम गर्दछ। पहिलो SSH जडानहरूमा कुञ्जीहरू मान्य गर्नको लागि SSHFP DNS रेकर्ड हो। मा वर्णन गरिएको छ RFC4255, RFC6594 и RFC7479। दोस्रो PGP प्रयोग गरेर कुञ्जी विनिमयको लागि OPENPGPKEY प्रविष्टि हो।RFC7929)। अन्तमा, तेस्रो SMIMEA रेकर्ड हो (मानक RFC मा औपचारिक रूपमा छैन, त्यहाँ छ यसको मस्यौदा मात्र) S/MIME मार्फत क्रिप्टोग्राफिक कुञ्जी विनिमयको लागि।

DANE को समस्या के छ

मेको मध्यमा, DNS-OARC सम्मेलन आयोजित भयो (यो एक गैर-लाभकारी संस्था हो जसले सुरक्षा, स्थिरता र डोमेन नाम प्रणालीको विकाससँग सम्बन्धित छ)। एउटा प्यानलमा विशेषज्ञहरू निष्कर्षमा पुग्योब्राउजरहरूमा DANE प्रविधि असफल भएको छ (कम्तीमा यसको हालको कार्यान्वयनमा)। सम्मेलनमा उपस्थित जेफ हस्टन, प्रमुख अनुसन्धान वैज्ञानिक APnic, पाँच क्षेत्रीय इन्टरनेट रजिस्ट्रारहरू मध्ये एक, जवाफ दिए DANE को बारेमा "मृत प्रविधि" को रूपमा।

लोकप्रिय ब्राउजरहरूले DANE प्रयोग गरेर प्रमाणपत्र प्रमाणीकरणलाई समर्थन गर्दैनन्। बजारमा त्यहाँ विशेष प्लगइनहरू छन्, जसले TLSA रेकर्डहरूको कार्यक्षमता प्रकट गर्दछ, तर तिनीहरूको समर्थन पनि बिस्तारै रोकिन्छ.

ब्राउजरहरूमा DANE वितरणमा समस्याहरू DNSSEC प्रमाणीकरण प्रक्रियाको लम्बाइसँग सम्बन्धित छन्। प्रणालीलाई SSL प्रमाणपत्रको प्रामाणिकता पुष्टि गर्न क्रिप्टोग्राफिक गणनाहरू गर्न बाध्य पारिएको छ र DNS सर्भरहरूको सम्पूर्ण श्रृंखला (रूट जोनबाट होस्ट डोमेनसम्म) पहिले स्रोतमा जडान गर्दा जान्छ।

/ अनस्प्लास / Kaley Dykstra

मोजिलाले मेकानिजम प्रयोग गरेर यो कमजोरी हटाउन प्रयास गर्यो DNSSEC चेन एक्सटेन्सन TLS को लागी। यो DNS रेकर्ड को संख्या कम गर्न को लागी थियो कि क्लाइन्ट प्रमाणीकरण को समयमा हेर्न को लागी थियो। तर, समाधान हुन नसकेका विकास समूहभित्रै विवाद उत्पन्न भयो । नतिजाको रूपमा, परियोजना परित्याग गरिएको थियो, यद्यपि यो मार्च 2018 मा IETF द्वारा अनुमोदन गरिएको थियो।

DANE को कम लोकप्रियताको अर्को कारण संसारमा DNSSEC को कम प्रचलन हो - केवल 19% स्रोतहरू यसमा काम गर्छन्। DANE लाई सक्रिय रूपमा बढावा दिन यो पर्याप्त नभएको विज्ञहरूले महसुस गरे।

सम्भवतः, उद्योग एक फरक दिशामा विकास हुनेछ। SSL/TLS प्रमाणपत्रहरू प्रमाणित गर्न DNS प्रयोग गर्नुको सट्टा, बजार खेलाडीहरूले DNS-over-TLS (DoT) र DNS-over-HTTPS (DoH) प्रोटोकलहरूलाई बढावा दिनेछन्। हामीले हाम्रो एउटामा पछिल्लो उल्लेख गरेका छौं अघिल्लो सामग्री Habré मा। तिनीहरूले एन्क्रिप्ट र प्रयोगकर्ता अनुरोधहरू DNS सर्भरमा प्रमाणित गर्छन्, आक्रमणकारीहरूलाई डाटा स्पूफ गर्नबाट रोक्न। वर्षको सुरुमा, DoT पहिले नै थियो कार्यान्वयन गरियो Google लाई यसको सार्वजनिक DNS को लागी। DANE को लागि, टेक्नोलोजी "काठीमा फर्कन" र अझै व्यापक बन्न सक्षम हुनेछ कि भविष्यमा हेर्न बाँकी छ।

हामीसँग थप पढ्नको लागि के छ:

IT पूर्वाधार व्यवस्थापन कसरी स्वचालित गर्ने - तीन प्रवृतिहरू छलफल गर्दै
JMAP - एउटा खुला प्रोटोकल जसले इमेल आदानप्रदान गर्दा IMAP लाई प्रतिस्थापन गर्नेछ

एप्लिकेसन प्रोग्रामिङ इन्टरफेसको साथ कसरी बचत गर्ने
1cloud.ru को उदाहरण प्रयोग गरेर क्लाउड सेवामा DevOps
१ क्लाउड क्लाउड आर्किटेक्चरको विकास

१ क्लाउड प्राविधिक समर्थनले कसरी काम गर्छ?
क्लाउड टेक्नोलोजीहरूको बारेमा मिथकहरू

स्रोत: www.habr.com