ProHoster > ΠΠ»ΠΎΠ³ > Maamulka > Waxaa jira ra'yi: Tignoolajiyada DANE ee daalacashada ayaa guuldareystay
Waxaa jira ra'yi: Tignoolajiyada DANE ee daalacashada ayaa guuldareystay
Waxaan ka hadalnaa waxa tignoolajiyada DANE u tahay xaqiijinta magacyada domainka iyadoo la adeegsanayo DNS iyo sababta aan si weyn loogu isticmaalin daalacashada.
Maamulka Shahaadada (CAs) waa ururo ku hawlan yihiin shahaadada cryptographic Shahaadooyinka SSL. Waxay dul saareen saxeexooda elegtarooniga ah, iyagoo xaqiijinaya xaqiiqadooda. Si kastaba ha noqotee, mararka qaarkood xaalado ayaa soo baxa marka shahaadooyin la bixiyo xadgudubyo. Tusaale ahaan, sannadkii hore Google waxay bilawday "nidaamka kalsoonida" ee shahaadooyinka Symantec sababtoo ah tanaasulkooda (sheekadan waxaan si faahfaahsan ugu soo koobnay blog-keena - jeer ΠΈ Π΄Π²Π°).
Si looga fogaado xaaladahan oo kale, dhowr sano ka hor IETF bilaabay horumar Farsamada DANE (laakin si weyn looguma isticmaalo daalacashada - waxaan ka hadli doonaa sababta ay tani u dhacday mar dambe).
DANE (Aqoonsiga Hay'adaha Magacaaban ee ku salaysan DNS) waa go'an tilmaamo kuu ogolaanaya inaad isticmaasho DNSSEC (Magaca Nidaamka Amniga Nidaamka) si loo xakameeyo ansaxnimada shahaadooyinka SSL. DNSSEC waa kordhinta Nidaamka Magaca Domain-ka kaas oo yareynaya weerarrada ciwaanka ah. Isticmaalka labadan tignoolajiyada, maamulaha mareegaha ama macmiilku waxa uu la xidhiidhi karaa mid ka mid ah hawl-wadeennada aagga DNS oo uu xaqiijiyo saxnimada shahaadada la isticmaalay.
Asal ahaan, DANE waxay u shaqeysaa sidii shahaado iskiis u saxiixday (dammaanad qaadayaasha isku halaynta waa DNSSEC) waxayna dhamaystiraysaa hawlaha CA.
Sidee tani u shaqaysaa
Tilmaamaha DANE waxaa lagu sifeeyay RFC6698. Sida ku cad dukumentiga, in Diiwaanada ilaha DNS nooc cusub ayaa lagu daray - TLSA. Waxay ka kooban tahay macluumaadka ku saabsan shahaadada la wareejiyay, cabbirka iyo nooca xogta la wareejiyay, iyo sidoo kale xogta lafteeda. Maamulaha shabakada waxa uu abuuraa suulka dhijitaalka ah ee shahaadada, waxa uu ku saxeexaa DNSSEC, oo uu geliyaa TLSA.
Macmiilku waxa uu ku xidhaa goob internet ka ah waxana uu isbarbar dhigayaa shahaadadiisa iyo βnuqulkaβ laga helay hawlwadeenka DNS. Haddii ay iswaafaqayaan, markaas kheyraadka waxaa loo tixgalinayaa mid la aamini karo.
Bogga DANE wiki wuxuu bixiyaa tusaalahan soo socda ee codsiga DNS ee ku socda example.org ee dekedda TCP 443:
IN TLSA _443._tcp.example.org
Jawaabtu waxay u egtahay sidan:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE waxa ay leedahay kordhin badan oo ku shaqeeya diiwaanada DNS oo aan ahayn TLSA. Midka koowaad waa diiwaanka SSHFP DNS ee lagu xaqiijinayo furayaasha isku xirka SSH. Waxaa lagu sifeeyaa RFC4255, RFC6594 ΠΈ RFC7479. Midda labaad waa gelitaanka OPENPGPKEY ee beddelka furaha iyadoo la adeegsanayo PGP (RFC7929). Ugu dambeyntii, ta saddexaad waa diiwaanka SMIMEA (heerka si rasmi ah ugama dhigna RFC, waxaa jira kaliya qabyo ka mid ah) Wixii loogu talagalay furaha furaha ah ee muhiimka ah ee loo maro S / MIME.
Waa maxay dhibka haysta DANE
Bartamihii May, shirka DNS-OARC ayaa la qabtay (tani waa urur aan faa'iido doon ahayn oo ka shaqeeya amniga, xasilloonida iyo horumarinta nidaamka magac domain). Khubarada mid ka mid ah baalasha soo gunaanadayin tignoolajiyada DANE ee daalacashada ay ku guuldareysatay (ugu yaraan hirgalinteeda hadda). Joogitaanka shirka Geoff Huston, Saynisyahanka Cilmi-baarista Hormoodka ah APnic, mid ka mid ah shanta diiwaan-geliyayaasha internetka ee gobolka, ku jawaabay ku saabsan DANE sida "teknoolajiyada dhintay".
Darowsarrada caanka ah ma taageeraan xaqiijinta shahaadada iyadoo la isticmaalayo DANE. Suuqa waxaa jira plugins gaar ah, kuwaas oo muujinaya shaqada diiwaannada TLSA, laakiin sidoo kale taageeradooda si tartiib tartiib ah u jooji.
Dhibaatooyinka qaybinta DANE ee daalacashada waxay la xidhiidhaan dhererka habka ansaxinta DNSSEC. Nidaamku wuxuu ku qasban yahay inuu sameeyo xisaabinta cryptographic si loo xaqiijiyo xaqiiqada shahaadada SSL oo uu maro dhammaan silsiladda server-yada DNS (laga bilaabo aagga xididka ilaa goobta martida loo yahay) marka ugu horeysa ee lagu xiro kheyraadka.
Mozilla waxay isku dayday inay tirtirto cilladaan iyadoo adeegsanaysa habka Kordhinta Silsiladda DNSSEC ee TLS. Waxay ahayd in la yareeyo tirada diiwaannada DNS ee macmiilku ku qasbanaaday inuu eego inta lagu jiro xaqiijinta. Si kastaba ha ahaatee, khilaaf ayaa ka dhex dhashay kooxda horumarinta kuwaas oo aan la xalin karin. Natiijo ahaan, mashruuca waa laga tagay, inkastoo ay ogolaatay IETF bishii Maarso 2018.
Sababta kale ee caan-yaraanta DANE waa hoos u dhaca baahsanaanta DNSSEC ee adduunka - kaliya 19% kheyraadka ayaa la shaqeeya. Khubaradu waxay dareemeen in tani aanay ku filnayn inay si firfircoon u dhiirrigeliso Danishka.