Re bua ka hore na theknoloji ea DANE ke efe bakeng sa ho netefatsa mabitso a marang-rang ho sebelisa DNS le hore na ke hobane'ng ha e sa sebelisoe haholo ho libatli.
/Unsplash/
DANE ke eng
Certification Authorities (CAs) ke mekhatlo e setifikeiti sa cryptographic . Ba beha signature ea bona ea elektroniki ho bona, ho netefatsa bonnete ba bona. Leha ho le joalo, ka linako tse ling maemo a hlaha ha litifikeiti li fanoa ka tlōlo ea molao. Mohlala, selemong se fetileng Google e ile ea qala "mokhoa oa ho se tšepe" bakeng sa setifikeiti sa Symantec ka lebaka la ho sekisetsa (re ile ra akaretsa pale ena ka botlalo ho blog ea rona - и ).
Ho qoba maemo a joalo, lilemong tse 'maloa tse fetileng IETF Theknoloji ea DANE (empa ha e sebelisoe haholo ho libatli - re tla bua ka hore na hobaneng sena se etsahetse hamorao).
DANE (DNS-based Authentication of Named Entities) ke sehlopha sa lintlha tse u lumellang hore u sebelise DNSSEC (Name System Security Extensions) ho laola bonnete ba litifikeiti tsa SSL. DNSSEC ke katoloso ho Domain Name System e fokotsang litlhaselo tse senyang liaterese. Ka ho sebelisa litheknoloji tsena tse peli, mookameli oa sebaka sa marang-rang kapa moreki a ka ikopanya le e mong oa basebetsi ba libaka tsa DNS mme a netefatsa bonnete ba setifikeiti se sebelisoang.
Ha e le hantle, DANE e sebetsa joalo ka setifikeiti se itekenetseng (tiisetso ea ho ts'epahala ha eona ke DNSSEC) mme se tlatselletsa mesebetsi ea CA.
Joang mosebetsing ona
Tlhaloso ea DANE e hlalositsoe ho . Ho ea ka tokomane, ka ho ile ha eketsoa mofuta o mocha - TLSA. E na le tlhahisoleseling mabapi le setifikeiti se fetisoang, boholo le mofuta oa data e fetisitsoeng, hammoho le data ka boeona. Mookameli oa sebaka sa marang-rang o etsa monoana o motona oa dijithale oa setifikeiti, o se saena le DNSSEC, ebe o se beha ho TLSA.
Moreki o hokahana le sebaka sa Marang-rang ebe o bapisa setifikeiti sa sona le "kopi" e fumanoeng ho tsoa ho opareitara ea DNS. Haeba li lumellana, joale mohloli o nkoa o tšeptjoa.
Leqephe la wiki la DANE le fana ka mohlala o latelang oa kopo ea DNS ho example.org ho TCP port 443:
IN TLSA _443._tcp.example.orgKarabo e shebahala tjena:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE e na le likeketso tse 'maloa tse sebetsang le lirekoto tsa DNS ntle le TLSA. Ea pele ke rekoto ea SSHFP DNS bakeng sa ho netefatsa linotlolo ho likhokahano tsa SSH. E hlalosoa ho , и . Ea bobeli ke ho kena ha OPENPGPKEY bakeng sa phapanyetsano ea senotlolo ho sebelisa PGP (). Qetellong, ea boraro ke rekoto ea SMIMEA (tekanyetso ha e ea etsoa semmuso ho RFC, ho na le ) bakeng sa phapanyetsano ea linotlolo tsa cryptographic ka S/MIME.
Bothata ke bofe ka DANE
Bohareng ba May, seboka sa DNS-OARC se ile sa tšoaroa (ena ke mokhatlo o se nang phaello o sebetsanang le ts'ireletso, botsitso le nts'etsopele ea tsamaiso ea mabitso a marang-rang). Litsebi ho e 'ngoe ea liphanele hore theknoloji ea DANE ho libatli e hlolehile (bonyane ts'ebetsong ea eona ea hajoale). E teng kopanong Geoff Huston, Rasaense ea ka Sehloohong oa Lipatlisiso , e mong oa bangolisi ba bahlano ba libaka tsa Marang-rang, mabapi le DANE e le "theknoloji e shoeleng".
Libatli tse tsebahalang ha li tšehetse netefatso ea setifikeiti ho sebelisa DANE. Mmarakeng , e senolang tšebetso ea lirekoto tsa TLSA, empa hape le tšehetso ea tsona .
Mathata a kabo ea DANE ho libatli a amahanngoa le bolelele ba ts'ebetso ea netefatso ea DNSSEC. Sistimi e qobelloa ho etsa lipalo tsa cryptographic ho netefatsa bonnete ba setifikeiti sa SSL le ho feta har'a ketane eohle ea li-server tsa DNS (ho tloha sebakeng sa motso ho ea sebakeng sa moamoheli) ha o qala ho hokela mohloling.
/Unsplash/
Mozilla e lekile ho felisa bothata bona ka mochini bakeng sa TLS. E ne e lokela ho fokotsa palo ea lirekoto tsa DNS tseo moreki a neng a tlameha ho li sheba nakong ea netefatso. Leha ho le joalo, ho ile ha hlaha liphapang ka har’a sehlopha sa ntlafatso tse neng li ke ke tsa rarolloa. Ka lebaka leo, morero ona o ile oa tloheloa, le hoja o ile oa amoheloa ke IETF ka March 2018.
Lebaka le leng la botumo bo tlase ba DANE ke ho ata ha DNSSEC lefatšeng - . Litsebi li ile tsa ikutloa hore sena ha sea lekana ho khothaletsa DANE ka mafolofolo.
Mohlomong, indasteri e tla hola ka tsela e fapaneng. Sebakeng sa ho sebelisa DNS ho netefatsa litifikeiti tsa SSL/TLS, libapali tsa mebaraka li tla khothaletsa liprothokholo tsa DNS-over-TLS (DoT) le DNS-over-HTTPS (DoH). Re boletse tsa morao ho e 'ngoe ea rona ho Habre. Ba patala le ho netefatsa likopo tsa basebelisi ho seva sa DNS, ho thibela bahlaseli ho senya data. Qalong ea selemo, DoT e ne e se e ntse e le teng ho Google bakeng sa DNS ea eona ea Sechaba. Ha e le DANE, hore na thekenoloji e tla khona ho "khutlela setulong" 'me e ntse e ata, e tla bonahala nakong e tlang.
Ke eng hape eo re nang le eona bakeng sa ho bala hape:
Source: www.habr.com