پرو هوسٽر > بلاگ > انتظاميه > اتي هڪ راء آهي: برائوزرن لاء DANE ٽيڪنالاجي ناڪام ٿي چڪي آهي

اتي هڪ راء آهي: برائوزرن لاء DANE ٽيڪنالاجي ناڪام ٿي چڪي آهي

اسان ان بابت ڳالهايون ٿا ته DANE ٽيڪنالاجي DNS استعمال ڪندي ڊومين نالن جي تصديق ڪرڻ لاءِ ڇا آهي ۽ اهو برائوزرن ۾ وڏي پئماني تي ڇو استعمال نه ڪيو ويو آهي.

اتي هڪ راء آهي: برائوزرن لاء DANE ٽيڪنالاجي ناڪام ٿي چڪي آهي
/ unsplash / پوليوس ڊريگناس

DANE ڇا آهي

سرٽيفڪيشن اٿارٽيز (CAs) اهي تنظيمون آهن جيڪي مصروف آهن cryptographic سرٽيفڪيٽ SSL سرٽيفڪيٽ. انهن تي پنهنجا اليڪٽرانڪ دستخط رکيا، انهن جي صداقت جي تصديق. بهرحال، ڪڏهن ڪڏهن حالتون پيدا ٿينديون آهن جڏهن سرٽيفڪيٽ جاري ڪيا ويندا آهن خلاف ورزي سان. مثال طور، گذريل سال گوگل شروع ڪيو ”بي اعتمادي وارو طريقو“ Symantec سرٽيفڪيٽن لاءِ انهن جي سمجهوتي جي ڪري (اسان هن ڪهاڻي کي تفصيل سان ڍڪيو پنهنجي بلاگ ۾ - ڀيرا и два).

اهڙين حالتن کان بچڻ لاء، ڪيترائي سال اڳ IETF ترقي ڪرڻ شروع ڪيو DANE ٽيڪنالاجي (پر اهو وڏي پيماني تي برائوزرن ۾ استعمال نه ڪيو ويو آهي - اسان انهي بابت ڳالهائينداسين ته اهو بعد ۾ ڇو ٿيو).

DANE (DNS-based Authentication of Named Entities) وضاحتن جو ھڪڙو سيٽ آھي جيڪو توھان کي SSL سرٽيفڪيٽن جي صحيحيت کي ڪنٽرول ڪرڻ لاءِ DNSSEC (نالي سسٽم سيڪيورٽي ايڪسٽينشن) استعمال ڪرڻ جي اجازت ڏئي ٿو. DNSSEC ڊومين نالو سسٽم جي هڪ توسيع آهي جيڪا ايڊريس اسپفنگ حملن کي گھٽائي ٿي. انهن ٻن ٽيڪنالاجين کي استعمال ڪندي، هڪ ويب ماسٽر يا ڪلائنٽ DNS زون آپريٽرن مان هڪ سان رابطو ڪري سگهي ٿو ۽ تصديق ڪري ٿو ته سرٽيفڪيٽ جي صحيحيت استعمال ڪئي پئي وڃي.

لازمي طور تي، DANE هڪ خود دستخط ٿيل سرٽيفڪيٽ طور ڪم ڪري ٿو (ان جي اعتبار جو ضامن DNSSEC آهي) ۽ CA جي ڪمن کي پورو ڪري ٿو.

ڪيئن هن ڪم ڪندو

DANE جي وضاحت ۾ بيان ڪيو ويو آهي آر ايف سي 6698. دستاويز جي مطابق، ۾ DNS وسيلن جي رڪارڊ ھڪڙو نئون قسم شامل ڪيو ويو - TLSA. اهو معلومات تي مشتمل آهي سرٽيفڪيٽ جي منتقلي بابت، ڊيٽا جي سائيز ۽ قسم کي منتقل ڪيو پيو وڃي، انهي سان گڏ ڊيٽا پاڻ کي. ويب ماسٽر سرٽيفڪيٽ جو هڪ ڊجيٽل انگوٽ پرنٽ ٺاهي ٿو، ان کي DNSSEC سان دستخط ڪري ٿو، ۽ ان کي TLSA ۾ رکي ٿو.

ڪلائنٽ انٽرنيٽ تي هڪ سائيٽ سان ڳنڍيندو آهي ۽ ان جي سرٽيفڪيٽ کي ڊي اين ايس آپريٽر کان حاصل ڪيل "ڪاپي" سان گڏ ڪري ٿو. جيڪڏهن اهي ملن ٿا، پوء وسيلن کي معتبر سمجهيو ويندو آهي.

DANE وڪي صفحو TCP پورٽ 443 تي example.org لاءِ DNS درخواست جو هيٺيون مثال مهيا ڪري ٿو:

IN TLSA _443._tcp.example.org

جواب هن طرح نظر اچي ٿو:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE ۾ ڪيتريون ئي واڌايون آھن جيڪي TLSA کان سواءِ DNS ريڪارڊ سان ڪم ڪن ٿيون. پهريون SSH ڪنيڪشن تي چيڪن جي تصديق ڪرڻ لاءِ SSHFP DNS رڪارڊ آهي. ۾ بيان ڪيل آهي آر ايف سي 4255آر ايف سي 6594 и آر ايف سي 7479. ٻيو آهي OPENPGPKEY داخلا ڪيئي مٽاسٽا لاءِ PGP استعمال ڪندي (آر ايف سي 7929). آخرڪار، ٽيون آهي SMIMEA رڪارڊ (معياري آر ايف سي ۾ رسمي نه آهي، اتي آهي صرف ان جو هڪ مسودو) Cryptographic Key Exchange for S/MIME ذريعي.

DANE سان ڇا مسئلو آهي

مئي جي وچ ۾، DNS-OARC ڪانفرنس منعقد ڪئي وئي (هي هڪ غير منافع بخش تنظيم آهي جيڪو سيڪيورٽي، استحڪام ۽ ڊومين نالو سسٽم جي ترقي سان تعلق رکي ٿو). هڪ پينل تي ماهر نتيجي تي پهتوته برائوزرن ۾ DANE ٽيڪنالاجي ناڪام ٿي چڪي آهي (گهٽ ۾ گهٽ ان جي موجوده عمل ۾). ڪانفرنس ۾ موجود Geoff Huston، معروف ريسرچ سائنسدان اپنيپنجن علائقائي انٽرنيٽ رجسٽرار مان هڪ، جواب ڏنو DANE بابت "مئل ٽيڪنالاجي" جي طور تي.

مشهور برائوزر DANE استعمال ڪندي سرٽيفڪيٽ جي تصديق جي حمايت نٿا ڪن. مارڪيٽ تي خاص پلگ ان آهن، جيڪي TLSA ريڪارڊ جي ڪارڪردگي کي ظاهر ڪن ٿا، پر انهن جي مدد پڻ آهستي آهستي روڪيو.

برائوزرن ۾ DANE جي ورڇ سان مسئلا DNSSEC جي تصديق واري عمل جي ڊيگهه سان لاڳاپيل آهن. سسٽم کي مجبور ڪيو ويو آهي ڪرپٽوگرافڪ حساب ڪتاب ڪرڻ لاءِ SSL سرٽيفڪيٽ جي صداقت جي تصديق ڪرڻ ۽ DNS سرورز جي پوري زنجير ذريعي (روٽ زون کان ميزبان ڊومين تائين) جڏهن پهريون ڀيرو ڪنهن وسيلن سان ڳنڍجي.

اتي هڪ راء آهي: برائوزرن لاء DANE ٽيڪنالاجي ناڪام ٿي چڪي آهي
/ unsplash / ڪيلي ڊڪسٽرا

Mozilla هن خرابي کي ختم ڪرڻ جي ڪوشش ڪئي ميڪانيزم کي استعمال ڪندي DNSSEC زنجير جي واڌ TLS لاء. اهو DNS رڪارڊ جو تعداد گھٽائڻ لاءِ هوندو هو ته ڪلائنٽ کي تصديق جي دوران ڏسڻو پوندو. بهرحال، اختلاف پيدا ٿيا ترقي پسند گروپ جي اندر جيڪي حل نه ٿي سگهيا آهن. نتيجي طور، منصوبي کي ڇڏي ڏنو ويو، جيتوڻيڪ اهو مارچ 2018 ۾ IETF پاران منظور ڪيو ويو.

DANE جي گهٽ مقبوليت جو هڪ ٻيو سبب دنيا ۾ DNSSEC جو گهٽ پکڙجڻ آهي. وسيلن جو صرف 19٪ ان سان ڪم ڪري ٿو. ماهرن محسوس ڪيو ته اهو ڪافي نه هو فعال طور تي DANE کي فروغ ڏيڻ لاء.

گهڻو ڪري، صنعت هڪ مختلف طرفن ۾ ترقي ڪندو. SSL/TLS سرٽيفڪيٽن جي تصديق ڪرڻ لاءِ DNS استعمال ڪرڻ بدران، مارڪيٽ جا رانديگر DNS-over-TLS (DoT) ۽ DNS-over-HTTPS (DoH) پروٽوڪول کي فروغ ڏيندا. جنهن جو ذڪر اسان پنهنجي هڪ ۾ ڪيو آهي اڳوڻو مواد Habré تي. اهي ڊي اين ايس سرور ڏانهن صارف جي درخواستن کي انڪرپٽ ۽ تصديق ڪن ٿا، حملي ڪندڙن کي ڊيٽا چوري ڪرڻ کان روڪيندا آهن. سال جي شروعات ۾، DoT اڳ ۾ ئي هو لاڳو ڪيو ويو گوگل کي ان جي عوامي DNS لاءِ. جيئن ته DANE لاء، ڇا ٽيڪنالاجي قابل ٿي ويندي "واپس سيڊل ۾ حاصل ڪريو" ۽ اڃا تائين وسيع ٿي چڪي آهي مستقبل ۾ ڏسڻ لاء.

اسان وٽ وڌيڪ پڙهڻ لاءِ ٻيو ڇا آهي:

اتي هڪ راء آهي: برائوزرن لاء DANE ٽيڪنالاجي ناڪام ٿي چڪي آهي آئي ٽي انفراسٽرڪچر مينيجمينٽ کي ڪيئن خودڪار ڪجي - ٽن رجحانن تي بحث ڪندي
اتي هڪ راء آهي: برائوزرن لاء DANE ٽيڪنالاجي ناڪام ٿي چڪي آهي JMAP - هڪ کليل پروٽوڪول جيڪو IMAP کي تبديل ڪندو جڏهن اي ميلون مٽائيندي

اتي هڪ راء آهي: برائوزرن لاء DANE ٽيڪنالاجي ناڪام ٿي چڪي آهي ايپليڪيشن پروگرامنگ انٽرفيس سان ڪيئن محفوظ ڪجي
اتي هڪ راء آهي: برائوزرن لاء DANE ٽيڪنالاجي ناڪام ٿي چڪي آهي 1cloud.ru جو مثال استعمال ڪندي ڪلائوڊ سروس ۾ DevOps
اتي هڪ راء آهي: برائوزرن لاء DANE ٽيڪنالاجي ناڪام ٿي چڪي آهي 1 ڪلائوڊ ڪلائوڊ آرڪيٽيڪچر جو ارتقا

اتي هڪ راء آهي: برائوزرن لاء DANE ٽيڪنالاجي ناڪام ٿي چڪي آهي 1Cloud ٽيڪنيڪل سپورٽ ڪيئن ڪم ڪندو آهي؟
اتي هڪ راء آهي: برائوزرن لاء DANE ٽيڪنالاجي ناڪام ٿي چڪي آهي ڪلائوڊ ٽيڪنالاجيز بابت افسانا

جو ذريعو: www.habr.com

تبصرو شامل ڪريو