Мо дар бораи он сӯҳбат мекунем, ки технологияи DANE барои тасдиқи номи домейнҳо бо истифода аз DNS чист ва чаро он дар браузерҳо васеъ истифода намешавад.
/Unsplash/
DANE чист
Мақомоти сертификатсия (CA) ташкилотҳое мебошанд, ки шаҳодатномаи криптографӣ . Онҳо имзои электронии худро гузошта, ҳаққонияти онҳоро тасдиқ мекунанд. Аммо, баъзан ҳолатҳое ба миён меоянд, ки шаҳодатномаҳо бо вайронкуниҳо дода мешаванд. Масалан, соли гузашта Google барои сертификатҳои Symantec "расми беэътимод" -ро бо сабаби созиши онҳо оғоз кард (мо ин ҳикояро дар блоги худ муфассал шарҳ додем - и ).
Барои роҳ надодан ба чунин ҳолатҳо, чанд сол пеш IETF Технологияи DANE (аммо он дар браузерҳо васеъ истифода намешавад - мо дар бораи он ки чаро ин ҳодиса рӯй дод, баъдтар сӯҳбат хоҳем кард).
DANE (Authentication-based Entities номбаршуда) маҷмӯи мушаххасотест, ки ба шумо имкон медиҳад DNSSEC (Extensions System Security Security) -ро барои назорат кардани эътибори сертификатҳои SSL истифода баред. DNSSEC як тамдиди системаи номи домен аст, ки ҳамлаҳои қаллобии суроғаҳоро кам мекунад. Бо истифода аз ин ду технология, вебмастер ё муштарӣ метавонад бо яке аз операторони минтақаи DNS тамос гирад ва эътибори сертификати истифодашударо тасдиқ кунад.
Аслан, DANE ҳамчун шаҳодатномаи худ имзошуда амал мекунад (кафили эътимоднокии он DNSSEC аст) ва вазифаҳои CA-ро пурра мекунад.
Чӣ тавр ба ин кор
Мушаххасоти DANE дар тавсиф шудааст . Мувофики хуччат дар навъи нав илова карда шуд - TLSA. Он дорои маълумот дар бораи сертификати интиқолшаванда, ҳаҷм ва намуди додаҳо, инчунин худи маълумот мебошад. Вебмастер изи ангушти рақамии сертификатро эҷод мекунад, онро бо DNSSEC имзо мекунад ва онро дар TLSA ҷойгир мекунад.
Мизоҷ ба сайте дар Интернет пайваст мешавад ва сертификати онро бо "нусха"-и аз оператори DNS гирифташуда муқоиса мекунад. Агар онҳо мувофиқат кунанд, он гоҳ манбаъ эътимоднок ҳисобида мешавад.
Саҳифаи вики DANE мисоли зерини дархости DNS-ро ба example.org дар порти TCP 443 пешниҳод мекунад:
IN TLSA _443._tcp.example.orgҶавоб чунин менамояд:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE дорои якчанд васеъшавӣ мебошад, ки бо сабтҳои DNS ғайр аз TLSA кор мекунанд. Аввалин сабти DNS SSHFP барои тасдиқи калидҳо дар пайвастҳои SSH мебошад. Дар он тавсиф шудааст , и . Дуюм ин вуруди OPENPGPKEY барои мубодилаи калидҳо бо истифода аз PGP (). Ниҳоят, сеюм сабти SMIMEA аст (стандарт дар RFC ба расмият дароварда нашудааст, вуҷуд дорад ) барои мубодилаи калидҳои криптографӣ тавассути S/MIME.
Мушкилот бо DANE чист
Дар нимаи моҳи май конфронси DNS-OARC баргузор шуд (ин созмони ғайритиҷоратӣ бо амният, субот ва рушди системаи номи доменҳо сарукор дорад). Мутахассисон дар яке аз панельхо ки технологияи DANE дар браузерҳо ноком шудааст (ҳадди ақал дар татбиқи ҷорӣ). Дар конфронс Ҷефф Ҳустон, олими пешбари тадқиқот , яке аз панҷ бақайдгирии минтақавии Интернет, дар бораи DANE ҳамчун "технологияи мурда".
Браузерҳои маъмул тасдиқи сертификатро бо истифода аз DANE дастгирӣ намекунанд. Дар бозор , ки функсияҳои сабтҳои TLSA, инчунин дастгирии онҳоро ошкор мекунанд .
Мушкилоти тақсимоти DANE дар браузерҳо бо дарозии раванди тасдиқи DNSSEC алоқаманд аст. Система маҷбур аст, ки ҳисобҳои криптографиро барои тасдиқи ҳақиқии сертификати SSL анҷом диҳад ва ҳангоми пайвастшавӣ ба манбаъ тамоми занҷири серверҳои DNS (аз минтақаи реша то домени мизбон) гузарад.
/Unsplash/
Mozilla кӯшиш кард, ки ин камбудиро бо истифода аз механизм бартараф кунад барои TLS. Он бояд шумораи сабтҳои DNS-ро коҳиш диҳад, ки муштарӣ ҳангоми тасдиқи аутентификатсия бояд онҳоро ҷустуҷӯ кунад. Бо вуҷуди ин, дар доираи гурӯҳи рушд ихтилофҳо ба миён омаданд, ки онҳоро ҳал карда натавонистанд. Дар натиҷа, лоиҳа тарк карда шуд, гарчанде ки онро IETF дар моҳи марти соли 2018 тасдиқ карда буд.
Сабаби дигари маъруфияти пасти DANE ин паҳншавии пасти DNSSEC дар ҷаҳон аст - . Коршиносон чунин мешуморанд, ки ин барои фаъолона пешбурди DANE кофӣ нест.
Эҳтимол, саноат бо самти дигар инкишоф меёбад. Ба ҷои истифодаи DNS барои тасдиқи сертификатҳои SSL/TLS, бозигарони бозор ба ҷои протоколҳои DNS-over-TLS (DoT) ва DNS-over-HTTPS (DoH) таблиғ мекунанд. Охиринро мо дар яке аз мо зикр кардем дар Хабре. Онҳо дархостҳои корбаронро ба сервери DNS рамзгузорӣ ва тафтиш мекунанд, ки ҳамлагаронро аз қаллобии маълумот пешгирӣ мекунанд. Дар ибтидои сол, DoT аллакай буд ба Google барои DNS ҷамъиятии худ. Дар мавриди DANE, оё технология метавонад "ба зин баргардад" ва ҳоло ҳам васеъ паҳн мешавад, дар оянда маълум мешавад.
Барои хондани минбаъда мо боз чӣ дорем:
Манбаъ: will.com