ProHoster > Blog > Идораи > Чунин ақида вуҷуд дорад: технологияи DANE барои браузерҳо ноком шудааст
Чунин ақида вуҷуд дорад: технологияи DANE барои браузерҳо ноком шудааст
Мо дар бораи он сӯҳбат мекунем, ки технологияи DANE барои тасдиқи номи домейнҳо бо истифода аз DNS чист ва чаро он дар браузерҳо васеъ истифода намешавад.
Барои роҳ надодан ба чунин ҳолатҳо, чанд сол пеш IETF инкишоф ёфт Технологияи DANE (аммо он дар браузерҳо васеъ истифода намешавад - мо дар бораи он ки чаро ин ҳодиса рӯй дод, баъдтар сӯҳбат хоҳем кард).
DANE (Authentication-based Entities номбаршуда) маҷмӯи мушаххасотест, ки ба шумо имкон медиҳад DNSSEC (Extensions System Security Security) -ро барои назорат кардани эътибори сертификатҳои SSL истифода баред. DNSSEC як тамдиди системаи номи домен аст, ки ҳамлаҳои қаллобии суроғаҳоро кам мекунад. Бо истифода аз ин ду технология, вебмастер ё муштарӣ метавонад бо яке аз операторони минтақаи DNS тамос гирад ва эътибори сертификати истифодашударо тасдиқ кунад.
Аслан, DANE ҳамчун шаҳодатномаи худ имзошуда амал мекунад (кафили эътимоднокии он DNSSEC аст) ва вазифаҳои CA-ро пурра мекунад.
Чӣ тавр ба ин кор
Мушаххасоти DANE дар тавсиф шудааст RFC6698. Мувофики хуччат дар Сабтҳои захираҳои DNS навъи нав илова карда шуд - TLSA. Он дорои маълумот дар бораи сертификати интиқолшаванда, ҳаҷм ва намуди додаҳо, инчунин худи маълумот мебошад. Вебмастер изи ангушти рақамии сертификатро эҷод мекунад, онро бо DNSSEC имзо мекунад ва онро дар TLSA ҷойгир мекунад.
Мизоҷ ба сайте дар Интернет пайваст мешавад ва сертификати онро бо "нусха"-и аз оператори DNS гирифташуда муқоиса мекунад. Агар онҳо мувофиқат кунанд, он гоҳ манбаъ эътимоднок ҳисобида мешавад.
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE дорои якчанд васеъшавӣ мебошад, ки бо сабтҳои DNS ғайр аз TLSA кор мекунанд. Аввалин сабти DNS SSHFP барои тасдиқи калидҳо дар пайвастҳои SSH мебошад. Дар он тавсиф шудааст RFC4255, RFC6594 и RFC7479. Дуюм ин вуруди OPENPGPKEY барои мубодилаи калидҳо бо истифода аз PGP (RFC7929). Ниҳоят, сеюм сабти SMIMEA аст (стандарт дар RFC ба расмият дароварда нашудааст, вуҷуд дорад танҳо як тарҳи он) барои мубодилаи калидҳои криптографӣ тавассути S/MIME.
Мушкилот бо DANE чист
Дар нимаи моҳи май конфронси DNS-OARC баргузор шуд (ин созмони ғайритиҷоратӣ бо амният, субот ва рушди системаи номи доменҳо сарукор дорад). Мутахассисон дар яке аз панельхо ба хулосае омадки технологияи DANE дар браузерҳо ноком шудааст (ҳадди ақал дар татбиқи ҷорӣ). Дар конфронс Ҷефф Ҳустон, олими пешбари тадқиқот АПНИК, яке аз панҷ бақайдгирии минтақавии Интернет, посух дод дар бораи DANE ҳамчун "технологияи мурда".
Браузерҳои маъмул тасдиқи сертификатро бо истифода аз DANE дастгирӣ намекунанд. Дар бозор плагинҳои махсус вуҷуд доранд, ки функсияҳои сабтҳои TLSA, инчунин дастгирии онҳоро ошкор мекунанд тадричан бас кардан.
Мушкилоти тақсимоти DANE дар браузерҳо бо дарозии раванди тасдиқи DNSSEC алоқаманд аст. Система маҷбур аст, ки ҳисобҳои криптографиро барои тасдиқи ҳақиқии сертификати SSL анҷом диҳад ва ҳангоми пайвастшавӣ ба манбаъ тамоми занҷири серверҳои DNS (аз минтақаи реша то домени мизбон) гузарад.