ProHoster > Blog > Administrasi > Aya hiji pamadegan: téhnologi DANE pikeun panyungsi geus gagal

Aya hiji pamadegan: téhnologi DANE pikeun panyungsi geus gagal

Urang ngobrol ngeunaan naon téhnologi DANE pikeun auténtikasi ngaran domain maké DNS jeung naha teu loba dipaké dina panyungsi.

Aya hiji pamadegan: téhnologi DANE pikeun panyungsi geus gagal
/Unsplash/ Paulius Dragunas

Naon DANE

Otoritas Sertifikasi (CA) nyaéta organisasi anu keur papacangan sertipikat cryptographic sertipikat SSL. Aranjeunna nempatkeun tanda tangan éléktronik dina aranjeunna, mastikeun kaaslianana. Nanging, sakapeung aya kaayaan nalika sertipikat dikaluarkeun kalayan palanggaran. Contona, taun ka tukang Google ngagagas "prosedur detrust" pikeun sertipikat Symantec alatan kompromi maranéhanana (urang nutupan carita ieu di jéntré dina blog urang - waktu и два).

Pikeun ngahindarkeun kaayaan sapertos kitu, sababaraha taun ka pengker IETF dimimitian ngembang Téknologi DANE (tapi henteu seueur dianggo dina panyungsi - urang bakal ngobrol ngeunaan naha ieu kajantenan engké).

DANE (Authentication basis DNS of Named Entities) nyaéta sakumpulan spésifikasi anu ngamungkinkeun anjeun ngagunakeun DNSSEC (Name System Security Extensions) pikeun ngadalikeun validitas sertipikat SSL. DNSSEC mangrupikeun ekstensi kana Sistem Ngaran Domain anu ngaminimalkeun serangan spoofing alamat. Nganggo dua téknologi ieu, webmaster atanapi klien tiasa ngahubungi salah sahiji operator zona DNS sareng mastikeun validitas sertipikat anu dianggo.

Intina, DANE bertindak salaku sertipikat anu ditandatanganan diri (penjamin reliabilitasna nyaéta DNSSEC) sareng ngalengkepan fungsi CA.

Kumaha teu karya ieu

Spésifikasi DANE dijelaskeun dina RFC6698. Numutkeun dokumén, dina rékaman sumberdaya DNS tipe anyar ieu ditambahkeun - TLSA. Éta ngandung inpormasi ngeunaan sertipikat anu ditransfer, ukuran sareng jinis data anu ditransfer, ogé datana sorangan. Webmaster nyiptakeun sidik jempol digital tina sertipikat, ditandatanganan nganggo DNSSEC, sareng tempatna di TLSA.

Klién nyambung ka situs dina Internét sareng ngabandingkeun sertipikatna sareng "salinan" anu ditampi ti operator DNS. Upami aranjeunna cocog, maka sumberna dianggap dipercaya.

Halaman wiki DANE nyayogikeun conto di handap ieu ngeunaan pamundut DNS ka example.org dina port TCP 443:

IN TLSA _443._tcp.example.org

Jawabanna siga kieu:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE gaduh sababaraha ekstensi anu tiasa dianggo sareng rékaman DNS sanés ti TLSA. Anu kahiji nyaéta rékaman DNS SSHFP pikeun validasi konci dina sambungan SSH. Dijelaskeun dina RFC4255RFC6594 и RFC7479. Anu kadua nyaéta éntri OPENPGPKEY pikeun bursa konci nganggo PGP (RFC7929). Tungtungna, anu katilu nyaéta catetan SMIMEA (standar henteu diformalkeun dina RFC, aya ukur draf eta) pikeun bursa konci cryptographic via S/MIME.

Naon masalahna sareng DANE

Dina pertengahan Méi, konferensi DNS-OARC dilaksanakeun (ieu organisasi nirlaba nu ngurus kaamanan, stabilitas jeung ngembangkeun sistem ngaran domain). Ahli dina salah sahiji panels datang ka kacindekanyén téhnologi DANE dina browser geus gagal (sahenteuna dina palaksanaan na ayeuna). Hadir dina konperénsi Geoff Huston, Élmuwan Panaliti Anjog APNIK, salah sahiji tina lima pendaptaran internét régional, ngawaler ngeunaan DANE salaku "téhnologi maot".

Panyungsi populér henteu ngadukung auténtikasi sertipikat nganggo DANE. Di pasar aya plugins husus, nu nembongkeun pungsionalitas rékaman TLSA, tapi ogé rojongan maranéhanana saeutik demi saeutik eureun.

Masalah sareng distribusi DANE dina panyungsi pakait sareng panjang prosés validasi DNSSEC. Sistim nu kapaksa nyieun itungan cryptographic pikeun ngonfirmasi kaaslian sertipikat SSL tur ngaliwatan sakabéh ranté tina server DNS (tina zona root ka domain host) nalika mimiti nyambungkeun kana sumberdaya a.

Aya hiji pamadegan: téhnologi DANE pikeun panyungsi geus gagal
/Unsplash/ Kaley Dykstra

Mozilla nyobian ngaleungitkeun kakurangan ieu nganggo mékanisme DNSSEC Chain Extension pikeun TLS. Éta sakuduna dituju pikeun ngirangan jumlah rékaman DNS anu kedah dipilarian ku klien salami auténtikasi. Sanajan kitu, disagreements timbul dina grup ngembangkeun nu teu bisa direngsekeun. Hasilna, proyék ieu ditinggalkeun, sanajan disatujuan ku IETF dina Maret 2018.

Alesan anu sanés pikeun popularitas rendah DANE nyaéta rendahna Prévalénsi DNSSEC di dunya - ngan 19% sumberdaya dianggo kalayan eta. Para ahli ngarasa yén ieu teu cukup pikeun aktip ngamajukeun DANE.

Paling dipikaresep, industri bakal ngamekarkeun dina arah béda. Gantina nganggo DNS pikeun pariksa sertipikat SSL / TLS, pamaén pasar bakal ngamajukeun protokol DNS-over-TLS (DoT) sareng DNS-over-HTTPS (DoH). Urang disebutkeun dimungkinkeun dina salah sahiji urang bahan saméméhna dina Habré. Aranjeunna énkripsi sareng pariksa pamundut pangguna ka server DNS, nyegah panyerang tina spoofing data. Dina awal taun, DoT parantos aya dilaksanakeun ka Google pikeun DNS Publik na. Sedengkeun pikeun DANE, naha téknologi bakal tiasa "balik deui kana sela" sareng masih janten nyebar tetep katingal di hareup.

Naon deui anu urang gaduh pikeun bacaan salajengna:

Aya hiji pamadegan: téhnologi DANE pikeun panyungsi geus gagal Kumaha ngajadikeun otomatis manajemén infrastruktur IT - ngabahas tilu tren
Aya hiji pamadegan: téhnologi DANE pikeun panyungsi geus gagal JMAP - protokol kabuka anu bakal ngagentos IMAP nalika silih tukeur email

Aya hiji pamadegan: téhnologi DANE pikeun panyungsi geus gagal Kumaha Simpen sareng Antarmuka Pemrograman Aplikasi
Aya hiji pamadegan: téhnologi DANE pikeun panyungsi geus gagal DevOps dina layanan awan ngagunakeun conto 1cloud.ru
Aya hiji pamadegan: téhnologi DANE pikeun panyungsi geus gagal Évolusi arsitéktur awan 1awan

Aya hiji pamadegan: téhnologi DANE pikeun panyungsi geus gagal Kumaha 1cloud rojongan teknis jalan?
Aya hiji pamadegan: téhnologi DANE pikeun panyungsi geus gagal Mitos ngeunaan téknologi awan

sumber: www.habr.com

Tambahkeun komentar