Tunazungumza kuhusu teknolojia ya DANE ni ya kuthibitisha majina ya vikoa kwa kutumia DNS na kwa nini haitumiki sana katika vivinjari.
/Onyesha/
DANE ni nini
Mamlaka za Udhibitishaji (CAs) ni mashirika ambayo cheti cha kriptografia . Wanaweka saini yao ya kielektroniki juu yao, ikithibitisha ukweli wao. Hata hivyo, wakati mwingine hali hutokea wakati vyeti vinatolewa na ukiukwaji. Kwa mfano, mwaka jana Google ilianzisha "utaratibu wa kutokuamini" kwa vyeti vya Symantec kutokana na maelewano yao (tuliangazia hadithi hii kwa undani katika blogu yetu - ΠΈ ).
Ili kuepuka hali kama hizo, miaka kadhaa iliyopita IETF Teknolojia ya DANE (lakini haitumiki sana katika vivinjari - tutazungumza kwa nini hii ilitokea baadaye).
DANE (Uthibitishaji wa Huluki Zilizopewa kulingana na DNS) ni seti ya vipimo vinavyokuruhusu kutumia DNSSEC (Jina Viendelezi vya Usalama wa Mfumo) ili kudhibiti uhalali wa vyeti vya SSL. DNSSEC ni kiendelezi kwa Mfumo wa Jina la Kikoa ambacho kinapunguza mashambulizi ya udukuzi wa anwani. Kwa kutumia teknolojia hizi mbili, msimamizi wa tovuti au mteja anaweza kuwasiliana na mmoja wa waendeshaji wa eneo la DNS na kuthibitisha uhalali wa cheti kinachotumiwa.
Kimsingi, DANE hufanya kazi kama cheti cha kujiandikisha (mdhamini wa kutegemewa kwake ni DNSSEC) na inakamilisha kazi za CA.
Jinsi gani kazi hii
Uainishaji wa DANE umeelezewa katika . Kulingana na hati hiyo, katika aina mpya iliongezwa - TLSA. Ina taarifa kuhusu cheti kinachohamishwa, ukubwa na aina ya data inayohamishwa, pamoja na data yenyewe. Msimamizi wa tovuti huunda alama ya gumba dijitali ya cheti, na kukitia saini kwa DNSSEC, na kukiweka kwenye TLSA.
Mteja huunganisha kwenye tovuti kwenye mtandao na kulinganisha cheti chake na "nakala" iliyopokelewa kutoka kwa operator wa DNS. Ikiwa zinalingana, basi rasilimali inachukuliwa kuwa ya kuaminika.
Ukurasa wa wiki wa DANE unatoa mfano ufuatao wa ombi la DNS kwa example.org kwenye bandari ya TCP 443:
IN TLSA _443._tcp.example.orgJibu linaonekana kama hii:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE ina viendelezi kadhaa vinavyofanya kazi na rekodi za DNS isipokuwa TLSA. Ya kwanza ni rekodi ya SSHFP DNS ya kuthibitisha vitufe kwenye miunganisho ya SSH. Inaelezwa katika , ΠΈ . Ya pili ni ingizo la OPENPGPKEY la kubadilishana ufunguo kwa kutumia PGP () Hatimaye, ya tatu ni rekodi ya SMIMEA (kiwango hakijarasimishwa katika RFC, kuna ) kwa kubadilishana vitufe vya kriptografia kupitia S/MIME.
Nini tatizo la DANE
Katikati ya Mei, mkutano wa DNS-OARC ulifanyika (hili ni shirika lisilo la faida ambalo linahusika na usalama, utulivu na maendeleo ya mfumo wa jina la kikoa). Wataalam kwenye moja ya paneli kwamba teknolojia ya DANE katika vivinjari imeshindwa (angalau katika utekelezaji wake wa sasa). Akihudhuria mkutano huo Geoff Huston, Mwanasayansi Mkuu wa Utafiti , mmoja wa wasajili watano wa mtandao wa kikanda, kuhusu DANE kama "teknolojia iliyokufa".
Vivinjari maarufu havitumii uthibitishaji wa cheti kwa kutumia DANE. Kwenye soko , ambayo hufichua utendakazi wa rekodi za TLSA, lakini pia usaidizi wao .
Matatizo ya usambazaji wa DANE katika vivinjari yanahusishwa na urefu wa mchakato wa uthibitishaji wa DNSSEC. Mfumo unalazimika kufanya hesabu za kriptografia ili kudhibitisha uhalisi wa cheti cha SSL na kupitia msururu mzima wa seva za DNS (kutoka eneo la mizizi hadi kikoa cha mwenyeji) wakati wa kuunganisha kwanza kwenye rasilimali.
/Onyesha/
Mozilla ilijaribu kuondoa shida hii kwa kutumia utaratibu kwa TLS. Ilitakiwa kupunguza idadi ya rekodi za DNS ambazo mteja alipaswa kutafuta wakati wa uthibitishaji. Hata hivyo, mizozo ilitokea ndani ya kikundi cha maendeleo ambayo haikuweza kutatuliwa. Kwa hivyo, mradi huo ulitelekezwa, ingawa uliidhinishwa na IETF mnamo Machi 2018.
Sababu nyingine ya umaarufu mdogo wa DANE ni kiwango cha chini cha maambukizi ya DNSSEC duniani - . Wataalam waliona kuwa hii haitoshi kukuza DANE kikamilifu.
Uwezekano mkubwa zaidi, tasnia itakua katika mwelekeo tofauti. Badala ya kutumia DNS kuthibitisha vyeti vya SSL/TLS, wachezaji wa soko badala yake watakuza itifaki za DNS-over-TLS (DoT) na DNS-over-HTTPS (DoH). Tulitaja mwisho katika moja ya yetu juu ya Habre. Wanasimba kwa njia fiche na kuthibitisha maombi ya mtumiaji kwa seva ya DNS, na kuwazuia washambuliaji kuharibu data. Mwanzoni mwa mwaka, DoT ilikuwa tayari kwa Google kwa DNS yake ya Umma. Kuhusu DANE, ikiwa teknolojia itaweza "kurejea kwenye tandiko" na bado kuenea inabaki kuonekana katika siku zijazo.
Nini kingine tunacho kwa kusoma zaidi:
Chanzo: mapenzi.com