ఒక అభిప్రాయం ఉంది: బ్రౌజర్ల కోసం DANE సాంకేతికత విఫలమైంది
DNSని ఉపయోగించి డొమైన్ పేర్లను ప్రామాణీకరించడానికి DANE సాంకేతికత అంటే ఏమిటి మరియు అది బ్రౌజర్లలో ఎందుకు విస్తృతంగా ఉపయోగించబడదు అనే దాని గురించి మేము మాట్లాడుతాము.
సర్టిఫికేషన్ అథారిటీలు (CAs) అనేవి సంస్థలు నిమగ్నమై ఉన్నారు క్రిప్టోగ్రాఫిక్ సర్టిఫికేట్ SSL ప్రమాణపత్రాలు. వారు తమ ఎలక్ట్రానిక్ సంతకాన్ని వాటిపై ఉంచారు, వారి ప్రామాణికతను నిర్ధారిస్తారు. అయితే, కొన్నిసార్లు ఉల్లంఘనలతో సర్టిఫికెట్లు జారీ చేయబడినప్పుడు పరిస్థితులు తలెత్తుతాయి. ఉదాహరణకు, సిమాంటెక్ సర్టిఫికేట్ల రాజీ కారణంగా గత సంవత్సరం Google వారి కోసం “డిట్రస్ట్ విధానాన్ని” ప్రారంభించింది (మేము ఈ కథనాన్ని మా బ్లాగ్లో వివరంగా కవర్ చేసాము - సమయం и два).
అటువంటి పరిస్థితులను నివారించడానికి, చాలా సంవత్సరాల క్రితం IETF అభివృద్ధి చేయడం ప్రారంభించింది DANE సాంకేతికత (కానీ ఇది బ్రౌజర్లలో విస్తృతంగా ఉపయోగించబడదు - ఇది ఎందుకు జరిగిందో మేము తరువాత మాట్లాడుతాము).
DANE (పేరు పెట్టబడిన ఎంటిటీల యొక్క DNS-ఆధారిత ప్రామాణీకరణ) అనేది SSL ప్రమాణపత్రాల చెల్లుబాటును నియంత్రించడానికి DNSSEC (నేమ్ సిస్టమ్ సెక్యూరిటీ ఎక్స్టెన్షన్స్)ని ఉపయోగించడానికి మిమ్మల్ని అనుమతించే స్పెసిఫికేషన్ల సమితి. DNSSEC అనేది డొమైన్ నేమ్ సిస్టమ్కు పొడిగింపు, ఇది అడ్రస్ స్పూఫింగ్ దాడులను తగ్గిస్తుంది. ఈ రెండు సాంకేతికతలను ఉపయోగించి, వెబ్మాస్టర్ లేదా క్లయింట్ DNS జోన్ ఆపరేటర్లలో ఒకరిని సంప్రదించవచ్చు మరియు ఉపయోగిస్తున్న సర్టిఫికేట్ యొక్క చెల్లుబాటును నిర్ధారించవచ్చు.
ముఖ్యంగా, DANE స్వీయ సంతకం చేసిన ప్రమాణపత్రంగా పనిచేస్తుంది (దాని విశ్వసనీయతకు హామీ ఇచ్చేది DNSSEC) మరియు CA యొక్క విధులను పూర్తి చేస్తుంది.
ఎలా పని చేస్తుంది
DANE స్పెసిఫికేషన్ వివరించబడింది RFC6698. పత్రం ప్రకారం, లో DNS వనరుల రికార్డులు కొత్త రకం జోడించబడింది - TLSA. ఇది బదిలీ చేయబడిన సర్టిఫికేట్, బదిలీ చేయబడిన డేటా పరిమాణం మరియు రకం, అలాగే డేటా గురించి సమాచారాన్ని కలిగి ఉంటుంది. వెబ్మాస్టర్ సర్టిఫికేట్ యొక్క డిజిటల్ థంబ్ప్రింట్ను సృష్టించి, దానిని DNSSECతో సంతకం చేసి, TLSAలో ఉంచారు.
క్లయింట్ ఇంటర్నెట్లోని సైట్కు కనెక్ట్ చేస్తుంది మరియు దాని సర్టిఫికేట్ను DNS ఆపరేటర్ నుండి స్వీకరించిన "కాపీ"తో పోల్చింది. అవి సరిపోలితే, ఆ వనరు విశ్వసనీయమైనదిగా పరిగణించబడుతుంది.
DANE వికీ పేజీ TCP పోర్ట్ 443లో example.orgకి DNS అభ్యర్థన యొక్క క్రింది ఉదాహరణను అందిస్తుంది:
IN TLSA _443._tcp.example.org
సమాధానం ఇలా కనిపిస్తుంది:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE TLSA కాకుండా ఇతర DNS రికార్డులతో పని చేసే అనేక పొడిగింపులను కలిగి ఉంది. మొదటిది SSH కనెక్షన్లలో కీలను ధృవీకరించడానికి SSHFP DNS రికార్డ్. లో వివరించబడింది RFC4255, RFC6594 и RFC7479. రెండవది PGPని ఉపయోగించి కీ మార్పిడి కోసం OPENPGPKEY ప్రవేశం (RFC7929) చివరగా, మూడవది SMIMEA రికార్డ్ (ప్రమాణం RFCలో అధికారికీకరించబడలేదు, ఉంది దాని చిత్తుప్రతి మాత్రమే) S/MIME ద్వారా క్రిప్టోగ్రాఫిక్ కీ మార్పిడి కోసం.
DANE తో సమస్య ఏమిటి
మే మధ్యలో, DNS-OARC సమావేశం జరిగింది (ఇది డొమైన్ నేమ్ సిస్టమ్ యొక్క భద్రత, స్థిరత్వం మరియు అభివృద్ధితో వ్యవహరించే లాభాపేక్ష లేని సంస్థ). ప్యానెల్లలో ఒకదానిపై నిపుణులు నిర్ధారణకు వచ్చారుబ్రౌజర్లలో DANE సాంకేతికత విఫలమైంది (కనీసం దాని ప్రస్తుత అమలులో). సదస్సులో ప్రముఖ రీసెర్చ్ సైంటిస్ట్ జియోఫ్ హస్టన్ హాజరు APnic, ఐదు ప్రాంతీయ ఇంటర్నెట్ రిజిస్ట్రార్లలో ఒకరు, స్పందించారు DANE గురించి "డెడ్ టెక్నాలజీ".
జనాదరణ పొందిన బ్రౌజర్లు DANEని ఉపయోగించి ప్రమాణపత్రం ప్రమాణీకరణకు మద్దతు ఇవ్వవు. మార్కెట్ లో ప్రత్యేక ప్లగిన్లు ఉన్నాయి, ఇది TLSA రికార్డ్ల కార్యాచరణను వెల్లడిస్తుంది, కానీ వాటి మద్దతు కూడా క్రమంగా ఆగిపోతాయి.
బ్రౌజర్లలో DANE పంపిణీకి సంబంధించిన సమస్యలు DNSSEC ధ్రువీకరణ ప్రక్రియ యొక్క పొడవుతో అనుబంధించబడ్డాయి. SSL సర్టిఫికేట్ యొక్క ప్రామాణికతను నిర్ధారించడానికి సిస్టమ్ క్రిప్టోగ్రాఫిక్ గణనలను చేయవలసి వస్తుంది మరియు మొదట వనరుకి కనెక్ట్ చేసినప్పుడు DNS సర్వర్ల మొత్తం గొలుసు (రూట్ జోన్ నుండి హోస్ట్ డొమైన్ వరకు) గుండా వెళుతుంది.
మొజిల్లా మెకానిజం ఉపయోగించి ఈ లోపాన్ని తొలగించడానికి ప్రయత్నించింది DNSSEC చైన్ పొడిగింపు TLS కోసం. ఇది ప్రామాణీకరణ సమయంలో క్లయింట్ చూసుకోవాల్సిన DNS రికార్డుల సంఖ్యను తగ్గించాలని భావించబడింది. అయితే, అభివృద్ధి బృందంలో విభేదాలు తలెత్తాయి, అవి పరిష్కరించబడలేదు. ఫలితంగా, మార్చి 2018లో IETF ఆమోదించినప్పటికీ, ప్రాజెక్ట్ రద్దు చేయబడింది.
DANE యొక్క తక్కువ ప్రజాదరణకు మరొక కారణం ప్రపంచంలో DNSSEC యొక్క తక్కువ ప్రాబల్యం - 19% వనరులు మాత్రమే దానితో పని చేస్తాయి. DANEని చురుకుగా ప్రోత్సహించడానికి ఇది సరిపోదని నిపుణులు భావించారు.
చాలా మటుకు, పరిశ్రమ వేరే దిశలో అభివృద్ధి చెందుతుంది. SSL/TLS ప్రమాణపత్రాలను ధృవీకరించడానికి DNSని ఉపయోగించే బదులు, మార్కెట్ ప్లేయర్లు బదులుగా DNS-over-TLS (DoT) మరియు DNS-over-HTTPS (DoH) ప్రోటోకాల్లను ప్రమోట్ చేస్తారు. మేము మా వాటిలో రెండోదాన్ని ప్రస్తావించాము మునుపటి పదార్థాలు హబ్రేపై. వారు DNS సర్వర్కు వినియోగదారు అభ్యర్థనలను ఎన్క్రిప్ట్ చేస్తారు మరియు ధృవీకరిస్తారు, దాడి చేసేవారు డేటాను మోసగించకుండా నిరోధిస్తారు. సంవత్సరం ప్రారంభంలో, DoT ఇప్పటికే ఉంది అమలు చేశారు దాని పబ్లిక్ DNS కోసం Googleకి. DANE విషయానికొస్తే, సాంకేతికత "తిరిగి జీనులోకి ప్రవేశించగలదా" మరియు ఇంకా విస్తృతంగా మారుతుందా అనేది భవిష్యత్తులో చూడవలసి ఉంది.