موږ د دې په اړه خبرې کوو چې د DNS په کارولو سره د ډومین نومونو تصدیق کولو لپاره د DANE ټیکنالوژي څه ده او ولې دا په براوزرونو کې په پراخه کچه نه کارول کیږي.
/نه خلاصول/
DANE څه شی دی؟
د تصدیق ادارې (CAs) هغه سازمانونه دي چې کریپټوګرافیک سند . دوی خپل بریښنایی لاسلیک په دوی کې واچاوه ، د دوی صداقت تاییدوي. په هرصورت ، ځینې وختونه داسې شرایط رامینځته کیږي کله چې سندونه د سرغړونو سره صادر شي. د مثال په توګه، تیر کال ګوګل د دوی د جوړجاړي له امله د سمنټیک سندونو لپاره د "بې اعتمادۍ پروسیجر" پیل کړ (موږ دا کیسه زموږ په بلاګ کې په تفصیل سره پوښلې - и ).
د داسې حالاتو څخه د مخنیوي لپاره، څو کاله وړاندې IETF DANE ټیکنالوژي (مګر دا په پراخه کچه په براوزرونو کې نه کارول کیږي - موږ به پدې اړه وغږیږو چې ولې دا وروسته پیښ شوي).
DANE (د نومول شویو ادارو DNS پر بنسټ تصدیق) د ځانګړتیاوو یوه مجموعه ده چې تاسو ته اجازه درکوي د SSL سندونو اعتبار کنټرول لپاره DNSSEC (نوم سیسټم امنیت توسیع) وکاروئ. DNSSEC د ډومین نوم سیسټم ته تمدید دی چې د ادرس سپوفینګ بریدونه کموي. د دې دوه ټیکنالوژیو په کارولو سره ، ویب ماسټر یا پیرودونکي کولی شي د DNS زون آپریټرونو څخه یو سره اړیکه ونیسي او د کارول شوي سند اعتبار تایید کړي.
په لازمي ډول، DANE د ځان لاسلیک شوي سند په توګه کار کوي (د دې د اعتبار تضمین DNSSEC دی) او د CA دندې بشپړوي.
دا څنګه کار کوي؟
د DANE مشخصات په کې تشریح شوي . د سند له مخې، په یو نوی ډول اضافه شوی - TLSA. پدې کې د لیږد شوي سند په اړه معلومات شامل دي ، د ډیټا اندازه او ډول لیږدول کیږي ، او همدارنګه پخپله ډاټا. ویب ماسټر د سند ډیجیټل ګوتو نښان جوړوي، دا د DNSSEC سره لاسلیک کوي، او په TLSA کې یې ځای پرځای کوي.
پیرودونکی په انټرنیټ کې یوې سایټ سره وصل کیږي او خپل سند د DNS آپریټر څخه ترلاسه شوي "کاپي" سره پرتله کوي. که دوی سره سمون ولري، بیا سرچینې باوري ګڼل کیږي.
د DANE ویکي پاڼه د TCP پورټ 443 کې example.org ته د DNS غوښتنې لاندې مثال وړاندې کوي:
IN TLSA _443._tcp.example.orgځواب داسې ښکاري:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE ډیری توسیعونه لري چې د TLSA پرته د DNS ریکارډونو سره کار کوي. لومړی د SSH اتصالاتو کې د کیلي تصدیق کولو لپاره د SSHFP DNS ریکارډ دی. په کې تشریح شوی دی , и . دوهم د PGP په کارولو سره د کلیدي تبادلې لپاره د OPENPGPKEY ننوتل دي (). په نهایت کې ، دریم د SMIMEA ریکارډ دی (معیار په RFC کې رسمي نه دی ، شتون لري د S/MIME له لارې د کریپټوګرافیک کلیدي تبادلې لپاره.
د DANE سره څه ستونزه ده
د می په نیمایي کې، د DNS-OARC کنفرانس ترسره شو (دا یو غیر انتفاعي سازمان دی چې د امنیت، ثبات او د ډومین نوم سیسټم پراختیا سره معامله کوي). په یوه پینل کې ماهرین دا چې په براوزرونو کې د DANE ټیکنالوژي ناکامه شوې (لږترلږه په اوسني پلي کولو کې). په کنفرانس کې حاضر دی جیف هسټن، مخکښ څیړونکی ساینس پوه د پنځو سیمه ایزو انټرنیټ راجستر کونکو څخه یو، د DANE په اړه د "مړ ټیکنالوژۍ" په توګه.
مشهور براوزرونه د DANE په کارولو سره د سند تصدیق کولو ملاتړ نه کوي. په بازار کې ، کوم چې د TLSA ریکارډونو فعالیت څرګندوي ، مګر د دوی ملاتړ هم .
په براوزرونو کې د DANE توزیع سره ستونزې د DNSSEC تایید پروسې اوږدوالي سره تړاو لري. سیسټم اړ دی چې د SSL سند اعتبار تایید کولو لپاره کریپټوګرافیک محاسبې وکړي او د DNS سرورونو ټولې سلسلې ته لاړ شي (د ریډ زون څخه کوربه ډومین ته) کله چې لومړی سرچینې سره وصل کیږي.
/نه خلاصول/
موزیلا هڅه وکړه چې د میکانیزم په کارولو سره دا نیمګړتیا له منځه یوسي د TLS لپاره. دا باید د DNS ریکارډونو شمیر کم کړي چې پیرودونکي باید د تصدیق کولو پرمهال وګوري. په هرصورت، د پراختیایي ډلې په مینځ کې اختلافات رامینځته شوي چې نشي حل کیدی. د پایلې په توګه، پروژه پریښودل شوه، که څه هم دا د مارچ په 2018 کې د IETF لخوا تصویب شوه.
د DANE د ټیټ شهرت بل دلیل په نړۍ کې د DNSSEC ټیټ خپریدل دي - . متخصصینو احساس وکړ چې دا په فعاله توګه د DANE هڅولو لپاره کافي ندي.
ډیری احتمال، صنعت به په بل لوري کې وده وکړي. د SSL/TLS سندونو تصدیق کولو لپاره د DNS کارولو پرځای ، د بازار لوبغاړي به د DNS-over-TLS (DoT) او DNS-over-HTTPS (DoH) پروتوکولونو ته وده ورکړي. موږ په خپل یو کې وروستی یادونه وکړه په Habré کې. دوی د DNS سرور ته د کارونکي غوښتنې کوډ کوي او تاییدوي، د برید کونکو د معلوماتو د سپف کولو مخه نیسي. د کال په پیل کې، DoT لا دمخه و ګوګل ته د دې عامه DNS لپاره. لکه څنګه چې د DANE لپاره ، ایا ټیکنالوژي به وکولی شي "بیا سیډل ته ورشي" او لاهم پراخه شي په راتلونکي کې لیدل کیږي.
موږ د نورو لوستلو لپاره نور څه لرو:
سرچینه: www.habr.com