ProHoster > බ්ලොග් > පරිපාලනය > මතයක් තිබේ: බ්රවුසර සඳහා DANE තාක්ෂණය අසාර්ථක වී ඇත

මතයක් තිබේ: බ්රවුසර සඳහා DANE තාක්ෂණය අසාර්ථක වී ඇත

DNS භාවිතා කරමින් වසම් නාම සත්‍යාපනය කිරීම සඳහා DANE තාක්ෂණය යනු කුමක්ද සහ එය බ්‍රව්සර්වල බහුලව භාවිතා නොවන්නේ මන්දැයි අපි කතා කරමු.

මතයක් තිබේ: බ්රවුසර සඳහා DANE තාක්ෂණය අසාර්ථක වී ඇත
/Unsplash/ Paulius Dragunas

DANE යනු කුමක්ද?

සහතික කිරීමේ අධිකාරීන් (CAs) යනු ආයතන වේ නිරතව සිටිති ගුප්ත ලේඛන සහතිකය SSL සහතික. ඔවුන් ඒවායේ ඉලෙක්ට්‍රොනික අත්සන තැබුවේ ඒවායේ සත්‍යතාව තහවුරු කරමිනි. කෙසේ වෙතත්, සමහර අවස්ථාවලදී උල්ලංඝනයන් සමඟ සහතික නිකුත් කරන විට තත්වයන් පැන නගී. උදාහරණයක් ලෙස, පසුගිය වසරේ Google Symantec සහතික සඳහා "විශ්වාස කිරීමේ ක්‍රියා පටිපාටියක්" ආරම්භ කළේ ඔවුන්ගේ සම්මුතිය හේතුවෙන් (අපි මෙම කතාව අපගේ බ්ලොග් අඩවියේ විස්තරාත්මකව ආවරණය කළෙමු - වාරයක් и два).

එවැනි තත්ත්වයන් මඟහරවා ගැනීම සඳහා වසර කිහිපයකට පෙර අයි.ඊ.ටී.එෆ් සංවර්ධනය ආරම්භ විය DANE තාක්ෂණය (නමුත් එය බ්‍රව්සර්වල බහුලව භාවිතා නොවේ - මෙය සිදු වූයේ මන්දැයි අපි පසුව කතා කරමු).

DANE (නම් කරන ලද ආයතනවල DNS මත පදනම් වූ සත්‍යාපනය) යනු SSL සහතික වල වලංගුභාවය පාලනය කිරීමට DNSSEC (නම පද්ධති ආරක්ෂණ දිගු) භාවිතා කිරීමට ඔබට ඉඩ සලසන පිරිවිතර සමූහයකි. DNSSEC යනු ලිපින වංචා කිරීමේ ප්‍රහාර අවම කරන වසම් නාම පද්ධතියට දිගුවකි. මෙම තාක්ෂණයන් දෙක භාවිතා කරමින්, වෙබ්මාස්ටර්වරයෙකුට හෝ සේවාලාභියෙකුට DNS කලාප ක්‍රියාකරුවන්ගෙන් කෙනෙකු අමතා භාවිතා කරන සහතිකයේ වලංගුභාවය තහවුරු කළ හැක.

අත්‍යවශ්‍යයෙන්ම, DANE ස්වයං අත්සන් සහතිකයක් ලෙස ක්‍රියා කරයි (එහි විශ්වසනීයත්වය සහතික කරන්නා DNSSEC වේ) සහ CA හි කාර්යයන් සම්පූර්ණ කරයි.

කොහොමද මේ වැඩ කරන්නේ

DANE පිරිවිතර විස්තර කර ඇත ආර්එෆ්සී 6698. ලේඛනයට අනුව, in DNS සම්පත් වාර්තා නව වර්ගයක් එකතු කරන ලදී - TLSA. එය මාරු කරන ලද සහතිකය, මාරු කරන ලද දත්ත ප්රමාණය සහ වර්ගය මෙන්ම දත්ත පිළිබඳ තොරතුරු අඩංගු වේ. වෙබ්මාස්ටර් සහතිකයේ ඩිජිටල් මාපටැඟිල්ලක් නිර්මාණය කරයි, එය DNSSEC සමඟ අත්සන් කර එය TLSA තුළ තබයි.

සේවාදායකයා අන්තර්ජාලයේ වෙබ් අඩවියකට සම්බන්ධ වන අතර එහි සහතිකය DNS ක්රියාකරුගෙන් ලැබුණු "පිටපත" සමඟ සංසන්දනය කරයි. ඒවා ගැලපෙන්නේ නම්, සම්පත විශ්වාසදායක ලෙස සලකනු ලැබේ.

DANE විකි පිටුව TCP port 443 මත example.org වෙත DNS ඉල්ලීමක පහත උදාහරණය සපයයි:

IN TLSA _443._tcp.example.org

පිළිතුර මේ වගේ ය:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE සතුව TLSA හැර DNS වාර්තා සමඟ ක්‍රියා කරන දිගු කිහිපයක් ඇත. පළමුවැන්න SSH සම්බන්ධතා මත යතුරු වලංගු කිරීම සඳහා වන SSHFP DNS වාර්තාවයි. එය විස්තර කර ඇත ආර්එෆ්සී 4255ආර්එෆ්සී 6594 и ආර්එෆ්සී 7479. දෙවැන්න PGP භාවිතා කරමින් යතුරු හුවමාරුව සඳහා OPENPGPKEY ප්‍රවේශයයි (ආර්එෆ්සී 7929) අවසාන වශයෙන්, තෙවැන්න SMIMEA වාර්තාවයි (RFC හි සම්මතය විධිමත් කර නැත, තිබේ එහි කෙටුම්පතක් පමණි) S/MIME හරහා ගුප්ත ලේඛන යතුරු හුවමාරුව සඳහා.

DANE සමඟ ඇති ගැටලුව කුමක්ද?

මැයි මැද භාගයේදී, DNS-OARC සම්මන්ත්‍රණය පැවැත්විණි (මෙය ඩොමේන් නාම පද්ධතියේ ආරක්ෂාව, ස්ථාවරත්වය සහ සංවර්ධනය සම්බන්ධයෙන් කටයුතු කරන ලාභ නොලබන සංවිධානයකි). එක් පුවරුවක විශේෂඥයින් නිගමනයට පැමිණියාබ්‍රව්සර්වල DANE තාක්‍ෂණය අසාර්ථක වී ඇති බව (අවම වශයෙන් එහි වර්තමාන ක්‍රියාත්මක කිරීමේදී). ප්‍රමුඛ පර්යේෂණ විද්‍යාඥ ජෙෆ් හස්ටන් සමුළුවට ඉදිරිපත් කරන්න APnic, ප්‍රාදේශීය අන්තර්ජාල රෙජිස්ට්‍රාර්වරුන් පහෙන් එකක්, ප්‍රතිචාර දැක්වූවා "මියගිය තාක්ෂණය" ලෙස DANE ගැන.

ජනප්‍රිය බ්‍රව්සර් DANE භාවිතයෙන් සහතික සත්‍යාපනයට සහාය නොදක්වයි. වෙළෙඳපොළ මත විශේෂ ප්ලගින තිබේ, TLSA වාර්තා වල ක්‍රියාකාරීත්වය හෙළි කරන නමුත් ඒවායේ සහාය ද ඇත ක්රමයෙන් නවත්වන්න.

බ්‍රවුසරවල DANE බෙදාහැරීමේ ගැටළු DNSSEC වලංගු කිරීමේ ක්‍රියාවලියේ දිග සමඟ සම්බන්ධ වේ. SSL සහතිකයේ සත්‍යතාව තහවුරු කිරීම සඳහා ක්‍රිප්ටෝග්‍රැෆික් ගණනය කිරීම් සිදු කිරීමට පද්ධතියට බල කෙරෙන අතර සම්පතකට ප්‍රථමයෙන් සම්බන්ධ වන විට සම්පූර්ණ DNS සේවාදායකයන් (මූල කලාපයේ සිට ධාරක වසම දක්වා) හරහා යන්න.

මතයක් තිබේ: බ්රවුසර සඳහා DANE තාක්ෂණය අසාර්ථක වී ඇත
/Unsplash/ Kaley Dykstra

මොසිල්ලා යාන්ත්‍රණය භාවිතයෙන් මෙම අඩුපාඩුව ඉවත් කිරීමට උත්සාහ කළේය DNSSEC දාම දිගුව TLS සඳහා. එය සත්‍යාපනය කිරීමේදී සේවාලාභියාට සොයා බැලිය යුතු DNS වාර්තා සංඛ්‍යාව අඩු කිරීමට නියමිතව තිබුණි. කෙසේ වෙතත්, සංවර්ධන කණ්ඩායම තුළ විසඳා ගත නොහැකි මතභේද ඇති විය. එහි ප්‍රතිඵලයක් ලෙස 2018 මාර්තු මාසයේදී IETF විසින් අනුමත කරන ලද නමුත් ව්‍යාපෘතිය අත්හැර දමන ලදී.

DANE හි අඩු ජනප්‍රියතාවයට තවත් හේතුවක් වන්නේ ලෝකයේ DNSSEC හි අඩු ව්‍යාප්තියයි - එය සමඟ වැඩ කරන්නේ සම්පත් වලින් 19% ක් පමණි. DANE සක්‍රීයව ප්‍රවර්ධනය කිරීමට මෙය ප්‍රමාණවත් නොවන බව ප්‍රවීණයන්ගේ අදහස විය.

බොහෝ දුරට, කර්මාන්තය වෙනත් දිශාවකට වර්ධනය වනු ඇත. SSL/TLS සහතික සත්‍යාපනය කිරීමට DNS භාවිතා කරනවා වෙනුවට, වෙළඳපල ක්‍රීඩකයින් DNS-over-TLS (DoT) සහ DNS-over-HTTPS (DoH) ප්‍රොටෝකෝල ප්‍රවර්ධනය කරනු ඇත. අපි අපේ එකක දෙවැන්න සඳහන් කළා පෙර ද්රව්ය Habré මත. ඔවුන් DNS සේවාදායකය වෙත පරිශීලක ඉල්ලීම් සංකේතනය කර සත්‍යාපනය කරයි, ප්‍රහාරකයින් දත්ත වංචා කිරීමෙන් වළක්වයි. වසර ආරම්භයේදී, DoT දැනටමත් විය ක්රියාත්මක කර ඇත එහි පොදු DNS සඳහා Google වෙත. DANE සම්බන්ධයෙන් ගත් කල, තාක්‍ෂණයට “නැවත සෑදලයට ඇතුළු වීමට” හැකි වේද යන්න සහ තවමත් පුළුල් ලෙස පැතිර යා හැකිද යන්න අනාගතයේදී දැකගත හැකිය.

වැඩිදුර කියවීම සඳහා අපට ඇති තවත් දේ:

මතයක් තිබේ: බ්රවුසර සඳහා DANE තාක්ෂණය අසාර්ථක වී ඇත තොරතුරු තාක්ෂණ යටිතල පහසුකම් කළමනාකරණය ස්වයංක්‍රීය කරන්නේ කෙසේද - ප්‍රවණතා තුනක් සාකච්ඡා කිරීම
මතයක් තිබේ: බ්රවුසර සඳහා DANE තාක්ෂණය අසාර්ථක වී ඇත JMAP - ඊමේල් හුවමාරු කිරීමේදී IMAP ප්‍රතිස්ථාපනය කරන විවෘත ප්‍රොටෝකෝලයකි

මතයක් තිබේ: බ්රවුසර සඳහා DANE තාක්ෂණය අසාර්ථක වී ඇත යෙදුම් ක්‍රමලේඛන අතුරුමුහුණත සමඟ ඉතිරි කරන්නේ කෙසේද
මතයක් තිබේ: බ්රවුසර සඳහා DANE තාක්ෂණය අසාර්ථක වී ඇත 1cloud.ru හි උදාහරණය භාවිතා කරමින් වලාකුළු සේවාවක DevOps
මතයක් තිබේ: බ්රවුසර සඳහා DANE තාක්ෂණය අසාර්ථක වී ඇත 1Cloud cloud architecture හි පරිණාමය

මතයක් තිබේ: බ්රවුසර සඳහා DANE තාක්ෂණය අසාර්ථක වී ඇත 1Cloud තාක්ෂණික සහාය ක්‍රියා කරන්නේ කෙසේද?
මතයක් තිබේ: බ්රවුසර සඳහා DANE තාක්ෂණය අසාර්ථක වී ඇත වලාකුළු තාක්ෂණය පිළිබඳ මිථ්‍යාවන්

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න