ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > ఒక అభిప్రాయం ఉంది: బ్రౌజర్‌ల కోసం DANE సాంకేతికత విఫలమైంది

ఒక అభిప్రాయం ఉంది: బ్రౌజర్‌ల కోసం DANE సాంకేతికత విఫలమైంది

DNSని ఉపయోగించి డొమైన్ పేర్లను ప్రామాణీకరించడానికి DANE సాంకేతికత అంటే ఏమిటి మరియు అది బ్రౌజర్‌లలో ఎందుకు విస్తృతంగా ఉపయోగించబడదు అనే దాని గురించి మేము మాట్లాడుతాము.

ఒక అభిప్రాయం ఉంది: బ్రౌజర్‌ల కోసం DANE సాంకేతికత విఫలమైంది
/అన్‌స్ప్లాష్/ పౌలియస్ డ్రాగునాస్

DANE అంటే ఏమిటి

సర్టిఫికేషన్ అథారిటీలు (CAs) అనేవి సంస్థలు నిమగ్నమై ఉన్నారు క్రిప్టోగ్రాఫిక్ సర్టిఫికేట్ SSL ప్రమాణపత్రాలు. వారు తమ ఎలక్ట్రానిక్ సంతకాన్ని వాటిపై ఉంచారు, వారి ప్రామాణికతను నిర్ధారిస్తారు. అయితే, కొన్నిసార్లు ఉల్లంఘనలతో సర్టిఫికెట్లు జారీ చేయబడినప్పుడు పరిస్థితులు తలెత్తుతాయి. ఉదాహరణకు, సిమాంటెక్ సర్టిఫికేట్‌ల రాజీ కారణంగా గత సంవత్సరం Google వారి కోసం “డిట్రస్ట్ విధానాన్ని” ప్రారంభించింది (మేము ఈ కథనాన్ని మా బ్లాగ్‌లో వివరంగా కవర్ చేసాము - సమయం и два).

అటువంటి పరిస్థితులను నివారించడానికి, చాలా సంవత్సరాల క్రితం IETF అభివృద్ధి చేయడం ప్రారంభించింది DANE సాంకేతికత (కానీ ఇది బ్రౌజర్‌లలో విస్తృతంగా ఉపయోగించబడదు - ఇది ఎందుకు జరిగిందో మేము తరువాత మాట్లాడుతాము).

DANE (పేరు పెట్టబడిన ఎంటిటీల యొక్క DNS-ఆధారిత ప్రామాణీకరణ) అనేది SSL ప్రమాణపత్రాల చెల్లుబాటును నియంత్రించడానికి DNSSEC (నేమ్ సిస్టమ్ సెక్యూరిటీ ఎక్స్‌టెన్షన్స్)ని ఉపయోగించడానికి మిమ్మల్ని అనుమతించే స్పెసిఫికేషన్‌ల సమితి. DNSSEC అనేది డొమైన్ నేమ్ సిస్టమ్‌కు పొడిగింపు, ఇది అడ్రస్ స్పూఫింగ్ దాడులను తగ్గిస్తుంది. ఈ రెండు సాంకేతికతలను ఉపయోగించి, వెబ్‌మాస్టర్ లేదా క్లయింట్ DNS జోన్ ఆపరేటర్‌లలో ఒకరిని సంప్రదించవచ్చు మరియు ఉపయోగిస్తున్న సర్టిఫికేట్ యొక్క చెల్లుబాటును నిర్ధారించవచ్చు.

ముఖ్యంగా, DANE స్వీయ సంతకం చేసిన ప్రమాణపత్రంగా పనిచేస్తుంది (దాని విశ్వసనీయతకు హామీ ఇచ్చేది DNSSEC) మరియు CA యొక్క విధులను పూర్తి చేస్తుంది.

ఎలా పని చేస్తుంది

DANE స్పెసిఫికేషన్ వివరించబడింది RFC6698. పత్రం ప్రకారం, లో DNS వనరుల రికార్డులు కొత్త రకం జోడించబడింది - TLSA. ఇది బదిలీ చేయబడిన సర్టిఫికేట్, బదిలీ చేయబడిన డేటా పరిమాణం మరియు రకం, అలాగే డేటా గురించి సమాచారాన్ని కలిగి ఉంటుంది. వెబ్‌మాస్టర్ సర్టిఫికేట్ యొక్క డిజిటల్ థంబ్‌ప్రింట్‌ను సృష్టించి, దానిని DNSSECతో సంతకం చేసి, TLSAలో ఉంచారు.

క్లయింట్ ఇంటర్నెట్‌లోని సైట్‌కు కనెక్ట్ చేస్తుంది మరియు దాని సర్టిఫికేట్‌ను DNS ఆపరేటర్ నుండి స్వీకరించిన "కాపీ"తో పోల్చింది. అవి సరిపోలితే, ఆ వనరు విశ్వసనీయమైనదిగా పరిగణించబడుతుంది.

DANE వికీ పేజీ TCP పోర్ట్ 443లో example.orgకి DNS అభ్యర్థన యొక్క క్రింది ఉదాహరణను అందిస్తుంది:

IN TLSA _443._tcp.example.org

సమాధానం ఇలా కనిపిస్తుంది:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE TLSA కాకుండా ఇతర DNS రికార్డులతో పని చేసే అనేక పొడిగింపులను కలిగి ఉంది. మొదటిది SSH కనెక్షన్‌లలో కీలను ధృవీకరించడానికి SSHFP DNS రికార్డ్. లో వివరించబడింది RFC4255RFC6594 и RFC7479. రెండవది PGPని ఉపయోగించి కీ మార్పిడి కోసం OPENPGPKEY ప్రవేశం (RFC7929) చివరగా, మూడవది SMIMEA రికార్డ్ (ప్రమాణం RFCలో అధికారికీకరించబడలేదు, ఉంది దాని చిత్తుప్రతి మాత్రమే) S/MIME ద్వారా క్రిప్టోగ్రాఫిక్ కీ మార్పిడి కోసం.

DANE తో సమస్య ఏమిటి

మే మధ్యలో, DNS-OARC సమావేశం జరిగింది (ఇది డొమైన్ నేమ్ సిస్టమ్ యొక్క భద్రత, స్థిరత్వం మరియు అభివృద్ధితో వ్యవహరించే లాభాపేక్ష లేని సంస్థ). ప్యానెల్‌లలో ఒకదానిపై నిపుణులు నిర్ధారణకు వచ్చారుబ్రౌజర్‌లలో DANE సాంకేతికత విఫలమైంది (కనీసం దాని ప్రస్తుత అమలులో). సదస్సులో ప్రముఖ రీసెర్చ్ సైంటిస్ట్ జియోఫ్ హస్టన్ హాజరు APnic, ఐదు ప్రాంతీయ ఇంటర్నెట్ రిజిస్ట్రార్‌లలో ఒకరు, స్పందించారు DANE గురించి "డెడ్ టెక్నాలజీ".

జనాదరణ పొందిన బ్రౌజర్‌లు DANEని ఉపయోగించి ప్రమాణపత్రం ప్రమాణీకరణకు మద్దతు ఇవ్వవు. మార్కెట్ లో ప్రత్యేక ప్లగిన్లు ఉన్నాయి, ఇది TLSA రికార్డ్‌ల కార్యాచరణను వెల్లడిస్తుంది, కానీ వాటి మద్దతు కూడా క్రమంగా ఆగిపోతాయి.

బ్రౌజర్‌లలో DANE పంపిణీకి సంబంధించిన సమస్యలు DNSSEC ధ్రువీకరణ ప్రక్రియ యొక్క పొడవుతో అనుబంధించబడ్డాయి. SSL సర్టిఫికేట్ యొక్క ప్రామాణికతను నిర్ధారించడానికి సిస్టమ్ క్రిప్టోగ్రాఫిక్ గణనలను చేయవలసి వస్తుంది మరియు మొదట వనరుకి కనెక్ట్ చేసినప్పుడు DNS సర్వర్‌ల మొత్తం గొలుసు (రూట్ జోన్ నుండి హోస్ట్ డొమైన్ వరకు) గుండా వెళుతుంది.

ఒక అభిప్రాయం ఉంది: బ్రౌజర్‌ల కోసం DANE సాంకేతికత విఫలమైంది
/అన్‌స్ప్లాష్/ కాలే డైక్స్ట్రా

మొజిల్లా మెకానిజం ఉపయోగించి ఈ లోపాన్ని తొలగించడానికి ప్రయత్నించింది DNSSEC చైన్ పొడిగింపు TLS కోసం. ఇది ప్రామాణీకరణ సమయంలో క్లయింట్ చూసుకోవాల్సిన DNS రికార్డుల సంఖ్యను తగ్గించాలని భావించబడింది. అయితే, అభివృద్ధి బృందంలో విభేదాలు తలెత్తాయి, అవి పరిష్కరించబడలేదు. ఫలితంగా, మార్చి 2018లో IETF ఆమోదించినప్పటికీ, ప్రాజెక్ట్ రద్దు చేయబడింది.

DANE యొక్క తక్కువ ప్రజాదరణకు మరొక కారణం ప్రపంచంలో DNSSEC యొక్క తక్కువ ప్రాబల్యం - 19% వనరులు మాత్రమే దానితో పని చేస్తాయి. DANEని చురుకుగా ప్రోత్సహించడానికి ఇది సరిపోదని నిపుణులు భావించారు.

చాలా మటుకు, పరిశ్రమ వేరే దిశలో అభివృద్ధి చెందుతుంది. SSL/TLS ప్రమాణపత్రాలను ధృవీకరించడానికి DNSని ఉపయోగించే బదులు, మార్కెట్ ప్లేయర్‌లు బదులుగా DNS-over-TLS (DoT) మరియు DNS-over-HTTPS (DoH) ప్రోటోకాల్‌లను ప్రమోట్ చేస్తారు. మేము మా వాటిలో రెండోదాన్ని ప్రస్తావించాము మునుపటి పదార్థాలు హబ్రేపై. వారు DNS సర్వర్‌కు వినియోగదారు అభ్యర్థనలను ఎన్‌క్రిప్ట్ చేస్తారు మరియు ధృవీకరిస్తారు, దాడి చేసేవారు డేటాను మోసగించకుండా నిరోధిస్తారు. సంవత్సరం ప్రారంభంలో, DoT ఇప్పటికే ఉంది అమలు చేశారు దాని పబ్లిక్ DNS కోసం Googleకి. DANE విషయానికొస్తే, సాంకేతికత "తిరిగి జీనులోకి ప్రవేశించగలదా" మరియు ఇంకా విస్తృతంగా మారుతుందా అనేది భవిష్యత్తులో చూడవలసి ఉంది.

తదుపరి చదవడానికి మనకు ఇంకా ఏమి ఉన్నాయి:

ఒక అభిప్రాయం ఉంది: బ్రౌజర్‌ల కోసం DANE సాంకేతికత విఫలమైంది IT ఇన్‌ఫ్రాస్ట్రక్చర్ మేనేజ్‌మెంట్‌ను ఆటోమేట్ చేయడం ఎలా - మూడు ట్రెండ్‌లను చర్చిస్తోంది
ఒక అభిప్రాయం ఉంది: బ్రౌజర్‌ల కోసం DANE సాంకేతికత విఫలమైంది JMAP - ఇమెయిల్‌లను మార్పిడి చేసేటప్పుడు IMAPని భర్తీ చేసే ఓపెన్ ప్రోటోకాల్

ఒక అభిప్రాయం ఉంది: బ్రౌజర్‌ల కోసం DANE సాంకేతికత విఫలమైంది అప్లికేషన్ ప్రోగ్రామింగ్ ఇంటర్‌ఫేస్‌తో ఎలా సేవ్ చేయాలి
ఒక అభిప్రాయం ఉంది: బ్రౌజర్‌ల కోసం DANE సాంకేతికత విఫలమైంది 1cloud.ru ఉదాహరణను ఉపయోగించి క్లౌడ్ సేవలో DevOps
ఒక అభిప్రాయం ఉంది: బ్రౌజర్‌ల కోసం DANE సాంకేతికత విఫలమైంది క్లౌడ్ ఆర్కిటెక్చర్ 1క్లౌడ్ యొక్క పరిణామం

ఒక అభిప్రాయం ఉంది: బ్రౌజర్‌ల కోసం DANE సాంకేతికత విఫలమైంది 1Cloud సాంకేతిక మద్దతు ఎలా పని చేస్తుంది?
ఒక అభిప్రాయం ఉంది: బ్రౌజర్‌ల కోసం DANE సాంకేతికత విఫలమైంది క్లౌడ్ టెక్నాలజీల గురించి అపోహలు

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి