Waxaan ka hadalnaa waxa tignoolajiyada DANE u tahay xaqiijinta magacyada domainka iyadoo la adeegsanayo DNS iyo sababta aan si weyn loogu isticmaalin daalacashada.
/Fursaar/
Waa maxay DANE
Maamulka Shahaadada (CAs) waa ururo shahaadada cryptographic . Waxay dul saareen saxeexooda elegtarooniga ah, iyagoo xaqiijinaya xaqiiqadooda. Si kastaba ha noqotee, mararka qaarkood xaalado ayaa soo baxa marka shahaadooyin la bixiyo xadgudubyo. Tusaale ahaan, sannadkii hore Google waxay bilawday "nidaamka kalsoonida" ee shahaadooyinka Symantec sababtoo ah tanaasulkooda (sheekadan waxaan si faahfaahsan ugu soo koobnay blog-keena - ΠΈ ).
Si looga fogaado xaaladahan oo kale, dhowr sano ka hor IETF Farsamada DANE (laakin si weyn looguma isticmaalo daalacashada - waxaan ka hadli doonaa sababta ay tani u dhacday mar dambe).
DANE (Aqoonsiga Hay'adaha Magacaaban ee ku salaysan DNS) waa go'an tilmaamo kuu ogolaanaya inaad isticmaasho DNSSEC (Magaca Nidaamka Amniga Nidaamka) si loo xakameeyo ansaxnimada shahaadooyinka SSL. DNSSEC waa kordhinta Nidaamka Magaca Domain-ka kaas oo yareynaya weerarrada ciwaanka ah. Isticmaalka labadan tignoolajiyada, maamulaha mareegaha ama macmiilku waxa uu la xidhiidhi karaa mid ka mid ah hawl-wadeennada aagga DNS oo uu xaqiijiyo saxnimada shahaadada la isticmaalay.
Asal ahaan, DANE waxay u shaqeysaa sidii shahaado iskiis u saxiixday (dammaanad qaadayaasha isku halaynta waa DNSSEC) waxayna dhamaystiraysaa hawlaha CA.
Sidee tani u shaqaysaa
Tilmaamaha DANE waxaa lagu sifeeyay . Sida ku cad dukumentiga, in nooc cusub ayaa lagu daray - TLSA. Waxay ka kooban tahay macluumaadka ku saabsan shahaadada la wareejiyay, cabbirka iyo nooca xogta la wareejiyay, iyo sidoo kale xogta lafteeda. Maamulaha shabakada waxa uu abuuraa suulka dhijitaalka ah ee shahaadada, waxa uu ku saxeexaa DNSSEC, oo uu geliyaa TLSA.
Macmiilku waxa uu ku xidhaa goob internet ka ah waxana uu isbarbar dhigayaa shahaadadiisa iyo βnuqulkaβ laga helay hawlwadeenka DNS. Haddii ay iswaafaqayaan, markaas kheyraadka waxaa loo tixgalinayaa mid la aamini karo.
Bogga DANE wiki wuxuu bixiyaa tusaalahan soo socda ee codsiga DNS ee ku socda example.org ee dekedda TCP 443:
IN TLSA _443._tcp.example.orgJawaabtu waxay u egtahay sidan:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE waxa ay leedahay kordhin badan oo ku shaqeeya diiwaanada DNS oo aan ahayn TLSA. Midka koowaad waa diiwaanka SSHFP DNS ee lagu xaqiijinayo furayaasha isku xirka SSH. Waxaa lagu sifeeyaa , ΠΈ . Midda labaad waa gelitaanka OPENPGPKEY ee beddelka furaha iyadoo la adeegsanayo PGP (). Ugu dambeyntii, ta saddexaad waa diiwaanka SMIMEA (heerka si rasmi ah ugama dhigna RFC, waxaa jira ) Wixii loogu talagalay furaha furaha ah ee muhiimka ah ee loo maro S / MIME.
Waa maxay dhibka haysta DANE
Bartamihii May, shirka DNS-OARC ayaa la qabtay (tani waa urur aan faa'iido doon ahayn oo ka shaqeeya amniga, xasilloonida iyo horumarinta nidaamka magac domain). Khubarada mid ka mid ah baalasha in tignoolajiyada DANE ee daalacashada ay ku guuldareysatay (ugu yaraan hirgalinteeda hadda). Joogitaanka shirka Geoff Huston, Saynisyahanka Cilmi-baarista Hormoodka ah , mid ka mid ah shanta diiwaan-geliyayaasha internetka ee gobolka, ku saabsan DANE sida "teknoolajiyada dhintay".
Darowsarrada caanka ah ma taageeraan xaqiijinta shahaadada iyadoo la isticmaalayo DANE. Suuqa , kuwaas oo muujinaya shaqada diiwaannada TLSA, laakiin sidoo kale taageeradooda .
Dhibaatooyinka qaybinta DANE ee daalacashada waxay la xidhiidhaan dhererka habka ansaxinta DNSSEC. Nidaamku wuxuu ku qasban yahay inuu sameeyo xisaabinta cryptographic si loo xaqiijiyo xaqiiqada shahaadada SSL oo uu maro dhammaan silsiladda server-yada DNS (laga bilaabo aagga xididka ilaa goobta martida loo yahay) marka ugu horeysa ee lagu xiro kheyraadka.
/Fursaar/
Mozilla waxay isku dayday inay tirtirto cilladaan iyadoo adeegsanaysa habka ee TLS. Waxay ahayd in la yareeyo tirada diiwaannada DNS ee macmiilku ku qasbanaaday inuu eego inta lagu jiro xaqiijinta. Si kastaba ha ahaatee, khilaaf ayaa ka dhex dhashay kooxda horumarinta kuwaas oo aan la xalin karin. Natiijo ahaan, mashruuca waa laga tagay, inkastoo ay ogolaatay IETF bishii Maarso 2018.
Sababta kale ee caan-yaraanta DANE waa hoos u dhaca baahsanaanta DNSSEC ee adduunka - . Khubaradu waxay dareemeen in tani aanay ku filnayn inay si firfircoon u dhiirrigeliso Danishka.
Inta badan, warshaduhu waxay u kobcin doonaan jiho kale. Halkii laga isticmaali lahaa DNS si loo xaqiijiyo shahaadooyinka SSL/TLS, ciyaartoyda suuqyadu waxay taa beddelkeeda kor u qaadi doonaan nidaamyada DNS-over-TLS (DoT) iyo DNS-over-HTTPS (DoH). Midda dambe ayaan ku soo sheegnay mid ka mid ah ee HabrΓ©. Waxay sireeyaan oo ay xaqiijiyaan codsiyada adeegsadaha server-ka DNS, iyaga oo ka hortagaya weeraryahannada in ay xogta xumeeyaan. Bilowgii sanadka, DoT hore ayay ahayd Google u dir DNS-keeda Dadweynaha. Dhanka DANE, haddii tignoolajiyadu ay awood u yeelan doonto inay "ku soo noqoto kooraha" oo ay weli noqoto mid baahsan oo la arki doono mustaqbalka.
Maxaa kale oo aan haysanaa si aan u sii akhrino:
Source: www.habr.com