ஒரு கருத்து உள்ளது: உலாவிகளுக்கான DANE தொழில்நுட்பம் தோல்வியடைந்தது

DNS ஐப் பயன்படுத்தி டொமைன் பெயர்களை அங்கீகரிப்பதற்கான DANE தொழில்நுட்பம் என்ன, அது ஏன் உலாவிகளில் பரவலாகப் பயன்படுத்தப்படவில்லை என்பதைப் பற்றி நாங்கள் பேசுகிறோம்.

/அன்ஸ்பிளாஷ்/ பாலியஸ் டிராகுனாஸ்

டேன் என்றால் என்ன

சான்றளிப்பு அதிகாரிகள் (CAs) என்பது நிறுவனங்கள் ஈடுபட்டுள்ளனர் கிரிப்டோகிராஃபிக் சான்றிதழ் SSL சான்றிதழ்கள். அவர்கள் தங்கள் மின்னணு கையொப்பத்தை வைத்து, அவற்றின் நம்பகத்தன்மையை உறுதிப்படுத்தினர். இருப்பினும், சில நேரங்களில் மீறல்களுடன் சான்றிதழ்கள் வழங்கப்படும் போது சூழ்நிலைகள் எழுகின்றன. எடுத்துக்காட்டாக, கடந்த ஆண்டு, சைமென்டெக் சான்றிதழ்களின் சமரசம் காரணமாக கூகுள் ஒரு “நம்பிக்கை நடைமுறையை” துவக்கியது (இந்தக் கதையை எங்கள் வலைப்பதிவில் விரிவாகப் பார்த்தோம் - நேரம் и два).

இதுபோன்ற சூழ்நிலைகளைத் தவிர்க்க, பல ஆண்டுகளுக்கு முன்பு ஐ.இ.டி.எஃப் உருவாக்கத் தொடங்கியது DANE தொழில்நுட்பம் (ஆனால் இது உலாவிகளில் பரவலாகப் பயன்படுத்தப்படவில்லை - இது ஏன் நடந்தது என்பதைப் பற்றி பின்னர் பேசுவோம்).

DANE (பெயரிடப்பட்ட நிறுவனங்களின் DNS அடிப்படையிலான அங்கீகாரம்) என்பது SSL சான்றிதழ்களின் செல்லுபடியை கட்டுப்படுத்த DNSSEC (பெயர் அமைப்பு பாதுகாப்பு நீட்டிப்புகள்) பயன்படுத்த உங்களை அனுமதிக்கும் விவரக்குறிப்புகளின் தொகுப்பாகும். DNSSEC என்பது டொமைன் பெயர் அமைப்பிற்கான நீட்டிப்பாகும், இது முகவரி ஏமாற்றும் தாக்குதல்களைக் குறைக்கிறது. இந்த இரண்டு தொழில்நுட்பங்களைப் பயன்படுத்தி, ஒரு வெப்மாஸ்டர் அல்லது கிளையன்ட் DNS மண்டல ஆபரேட்டர்களில் ஒருவரைத் தொடர்புகொண்டு, பயன்படுத்தப்படும் சான்றிதழின் செல்லுபடியை உறுதிப்படுத்தலாம்.

அடிப்படையில், DANE ஒரு சுய கையொப்பமிட்ட சான்றிதழாக செயல்படுகிறது (அதன் நம்பகத்தன்மைக்கு உத்தரவாதம் அளிப்பவர் DNSSEC) மற்றும் CA இன் செயல்பாடுகளை நிறைவு செய்கிறது.

இது எப்படி வேலை செய்கிறது

DANE விவரக்குறிப்பு விவரிக்கப்பட்டுள்ளது RFC6698. ஆவணத்தின் படி, இல் DNS ஆதார பதிவுகள் ஒரு புதிய வகை சேர்க்கப்பட்டது - TLSA. இது மாற்றப்படும் சான்றிதழ், மாற்றப்படும் தரவின் அளவு மற்றும் வகை மற்றும் தரவு பற்றிய தகவல்களைக் கொண்டுள்ளது. வெப்மாஸ்டர் சான்றிதழின் டிஜிட்டல் கட்டைவிரல் ரேகையை உருவாக்கி, DNSSEC உடன் கையொப்பமிட்டு, TLSA இல் வைக்கிறார்.

கிளையன்ட் இணையத்தில் ஒரு தளத்துடன் இணைத்து அதன் சான்றிதழை DNS ஆபரேட்டரிடமிருந்து பெறப்பட்ட "நகல்" உடன் ஒப்பிடுகிறார். அவை பொருந்தினால், ஆதாரம் நம்பகமானதாகக் கருதப்படுகிறது.

DANE விக்கி பக்கம் TCP போர்ட் 443 இல் example.org க்கு DNS கோரிக்கையின் பின்வரும் உதாரணத்தை வழங்குகிறது:

IN TLSA _443._tcp.example.org

பதில் இதுபோல் தெரிகிறது:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE ஆனது TLSA அல்லாத DNS பதிவுகளுடன் வேலை செய்யும் பல நீட்டிப்புகளைக் கொண்டுள்ளது. முதலாவது SSH இணைப்புகளில் விசைகளை சரிபார்க்கும் SSHFP DNS பதிவு. இது விவரிக்கப்பட்டுள்ளது RFC4255, RFC6594 и RFC7479. இரண்டாவது PGP ஐப் பயன்படுத்தி முக்கிய பரிமாற்றத்திற்கான OPENPGPKEY நுழைவு (RFC7929) இறுதியாக, மூன்றாவது SMIMEA பதிவு (தரநிலை RFC இல் முறைப்படுத்தப்படவில்லை, உள்ளது அதன் ஒரு வரைவு மட்டுமே) S/MIME வழியாக கிரிப்டோகிராஃபிக் விசை பரிமாற்றத்திற்கு.

DANE க்கு என்ன பிரச்சனை

மே நடுப்பகுதியில், DNS-OARC மாநாடு நடைபெற்றது (இது ஒரு இலாப நோக்கற்ற அமைப்பாகும், இது டொமைன் பெயர் அமைப்பின் பாதுகாப்பு, ஸ்திரத்தன்மை மற்றும் மேம்பாடு ஆகியவற்றைக் கையாள்கிறது). பேனல்களில் ஒன்றில் நிபுணர்கள் முடிவுக்கு வந்ததுஉலாவிகளில் DANE தொழில்நுட்பம் தோல்வியடைந்துள்ளது (குறைந்தது அதன் தற்போதைய செயலாக்கத்தில்). மாநாட்டில் முன்னிலை வகிக்கும் ஆராய்ச்சி விஞ்ஞானியான Geoff Huston APnic, ஐந்து பிராந்திய இணையப் பதிவாளர்களில் ஒருவர், பதிலளித்தார் DANE பற்றி "இறந்த தொழில்நுட்பம்".

பிரபலமான உலாவிகள் DANE ஐப் பயன்படுத்தி சான்றிதழ் அங்கீகாரத்தை ஆதரிக்காது. சந்தையில் சிறப்பு செருகுநிரல்கள் உள்ளன, இது TLSA பதிவுகளின் செயல்பாட்டை வெளிப்படுத்துகிறது, ஆனால் அவற்றின் ஆதரவையும் வெளிப்படுத்துகிறது படிப்படியாக நிறுத்தப்படும்.

உலாவிகளில் DANE விநியோகத்தில் உள்ள சிக்கல்கள் DNSSEC சரிபார்ப்பு செயல்முறையின் நீளத்துடன் தொடர்புடையது. SSL சான்றிதழின் நம்பகத்தன்மையை உறுதிப்படுத்தும் வகையில் கிரிப்டோகிராஃபிக் கணக்கீடுகளைச் செய்ய கணினி கட்டாயப்படுத்தப்படுகிறது மற்றும் முதலில் ஒரு ஆதாரத்துடன் இணைக்கும்போது DNS சேவையகங்களின் முழு சங்கிலியையும் (ரூட் மண்டலத்திலிருந்து ஹோஸ்ட் டொமைன் வரை) செல்ல வேண்டும்.

/அன்ஸ்பிளாஷ்/ கேலி டிக்ஸ்ட்ரா

பொறிமுறையைப் பயன்படுத்தி இந்த குறைபாட்டை அகற்ற மொஸில்லா முயற்சித்தது DNSSEC சங்கிலி நீட்டிப்பு TLSக்கு. அங்கீகாரத்தின் போது கிளையன்ட் பார்க்க வேண்டிய DNS பதிவுகளின் எண்ணிக்கையை இது குறைக்க வேண்டும். எனினும், அபிவிருத்தி குழுவிற்குள் கருத்து வேறுபாடுகள் எழுந்தன, அதை தீர்க்க முடியவில்லை. இதன் விளைவாக, திட்டம் கைவிடப்பட்டது, இருப்பினும் இது மார்ச் 2018 இல் IETF ஆல் அங்கீகரிக்கப்பட்டது.

DANE இன் பிரபலம் குறைந்ததற்கு மற்றொரு காரணம், உலகில் DNSSEC இன் மிகக்குறைவு - 19% வளங்கள் மட்டுமே அதனுடன் வேலை செய்கின்றன. DANE ஐ தீவிரமாக ஊக்குவிக்க இது போதாது என்று நிபுணர்கள் கருதினர்.

பெரும்பாலும், தொழில் வேறு திசையில் வளரும். SSL/TLS சான்றிதழ்களைச் சரிபார்க்க DNS ஐப் பயன்படுத்துவதற்குப் பதிலாக, சந்தை வீரர்கள் DNS-over-TLS (DoT) மற்றும் DNS-over-HTTPS (DoH) நெறிமுறைகளை விளம்பரப்படுத்துவார்கள். எங்களுடைய ஒன்றில் பிந்தையதைக் குறிப்பிட்டோம் முந்தைய பொருட்கள் ஹப்ரே மீது. அவர்கள் டிஎன்எஸ் சேவையகத்திற்கான பயனர் கோரிக்கைகளை குறியாக்கம் செய்து சரிபார்க்கிறார்கள், தாக்குபவர்கள் தரவை ஏமாற்றுவதைத் தடுக்கிறார்கள். ஆண்டின் தொடக்கத்தில், DoT ஏற்கனவே இருந்தது செயல்படுத்தப்பட்டது Google க்கு அதன் பொது DNS. DANE ஐப் பொறுத்தவரை, தொழில்நுட்பம் "மீண்டும் சேணத்திற்குள் வருமா" மற்றும் இன்னும் பரவலாக மாறுமா என்பது எதிர்காலத்தில் பார்க்கப்பட வேண்டும்.

மேலும் படிக்க இன்னும் என்ன இருக்கிறது:

ஐடி உள்கட்டமைப்பு நிர்வாகத்தை தானியக்கமாக்குவது எப்படி - மூன்று போக்குகளைப் பற்றி விவாதிக்கிறது
JMAP - மின்னஞ்சல்களை பரிமாறிக்கொள்ளும் போது IMAP ஐ மாற்றும் ஒரு திறந்த நெறிமுறை

பயன்பாட்டு நிரலாக்க இடைமுகத்துடன் எவ்வாறு சேமிப்பது
1cloud.ru இன் உதாரணத்தைப் பயன்படுத்தி மேகக்கணி சேவையில் DevOps
கிளவுட் கட்டிடக்கலையின் பரிணாமம் 1கிளவுட்

1கிளவுட் தொழில்நுட்ப ஆதரவு எவ்வாறு செயல்படுகிறது?
கிளவுட் தொழில்நுட்பங்கள் பற்றிய கட்டுக்கதைகள்

ஆதாரம்: www.habr.com