پرو ہوسٹر > بلاگ > انتظامیہ > ایک رائے ہے: براؤزرز کے لیے DANE ٹیکنالوجی ناکام ہو گئی ہے۔

ایک رائے ہے: براؤزرز کے لیے DANE ٹیکنالوجی ناکام ہو گئی ہے۔

ہم اس بارے میں بات کرتے ہیں کہ DNS کا استعمال کرتے ہوئے ڈومین ناموں کی توثیق کرنے کے لیے DANE ٹیکنالوجی کیا ہے اور براؤزرز میں اسے وسیع پیمانے پر کیوں استعمال نہیں کیا جاتا ہے۔

ایک رائے ہے: براؤزرز کے لیے DANE ٹیکنالوجی ناکام ہو گئی ہے۔
/انسپلاش/ پاؤلیس ڈریگناس

DANE کیا ہے؟

سرٹیفیکیشن اتھارٹیز (CAs) وہ تنظیمیں ہیں جو مصروف ہیں کرپٹوگرافک سرٹیفکیٹ SSL سرٹیفکیٹ. وہ ان پر اپنے الیکٹرانک دستخط لگاتے ہیں، ان کی صداقت کی تصدیق کرتے ہیں۔ تاہم، بعض اوقات ایسے حالات پیدا ہوتے ہیں جب خلاف ورزیوں کے ساتھ سرٹیفکیٹ جاری کیے جاتے ہیں۔ مثال کے طور پر، پچھلے سال گوگل نے سمانٹیک سرٹیفکیٹس کے لیے ان کے سمجھوتہ کی وجہ سے "اعتماد کا طریقہ کار" شروع کیا تھا (ہم نے اپنے بلاگ میں اس کہانی کا تفصیل سے احاطہ کیا تھا - وقت и два).

ایسے حالات سے بچنے کے لیے کئی سال قبل IETF ترقی کرنا شروع کر دیا DANE ٹیکنالوجی (لیکن یہ براؤزرز میں بڑے پیمانے پر استعمال نہیں ہوتی ہے - ہم بعد میں بات کریں گے کہ ایسا کیوں ہوا)۔

DANE (DNS-based Authentication of Named Entities) تصریحات کا ایک مجموعہ ہے جو آپ کو SSL سرٹیفکیٹس کی درستگی کو کنٹرول کرنے کے لیے DNSSEC (Name System Security Extensions) استعمال کرنے کی اجازت دیتا ہے۔ DNSSEC ڈومین نیم سسٹم کی توسیع ہے جو ایڈریس سپوفنگ حملوں کو کم کرتی ہے۔ ان دو ٹیکنالوجیز کا استعمال کرتے ہوئے، ایک ویب ماسٹر یا کلائنٹ DNS زون آپریٹرز میں سے کسی ایک سے رابطہ کر سکتا ہے اور استعمال کیے جانے والے سرٹیفکیٹ کی درستگی کی تصدیق کر سکتا ہے۔

بنیادی طور پر، DANE خود دستخط شدہ سرٹیفکیٹ کے طور پر کام کرتا ہے (اس کی وشوسنییتا کا ضامن DNSSEC ہے) اور CA کے افعال کی تکمیل کرتا ہے۔

یہ کیسے کام کرتا ہے

DANE تفصیلات میں بیان کیا گیا ہے۔ آر ایف سی 6698. دستاویز کے مطابق، میں DNS وسائل کے ریکارڈ ایک نئی قسم شامل کی گئی تھی - TLSA۔ اس میں منتقل ہونے والے سرٹیفکیٹ، منتقل کیے جانے والے ڈیٹا کے سائز اور قسم کے ساتھ ساتھ ڈیٹا کے بارے میں بھی معلومات ہوتی ہیں۔ ویب ماسٹر سرٹیفکیٹ کا ڈیجیٹل انگوٹھے کا نشان بناتا ہے، اس پر DNSSEC سے دستخط کرتا ہے، اور اسے TLSA میں رکھتا ہے۔

کلائنٹ انٹرنیٹ پر کسی سائٹ سے جڑتا ہے اور اپنے سرٹیفکیٹ کا DNS آپریٹر سے موصول ہونے والی "کاپی" سے موازنہ کرتا ہے۔ اگر وہ مماثل ہیں، تو وسائل قابل اعتماد سمجھا جاتا ہے.

DANE ویکی صفحہ TCP پورٹ 443 پر example.org پر DNS درخواست کی درج ذیل مثال فراہم کرتا ہے:

IN TLSA _443._tcp.example.org

جواب اس طرح لگتا ہے:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE میں کئی ایکسٹینشنز ہیں جو TLSA کے علاوہ DNS ریکارڈز کے ساتھ کام کرتی ہیں۔ پہلا SSH کنکشن پر کلیدوں کی توثیق کے لیے SSHFP DNS ریکارڈ ہے۔ میں بیان کیا گیا ہے۔ آر ایف سی 4255آر ایف سی 6594 и آر ایف سی 7479. دوسرا PGP (آر ایف سی 7929)۔ آخر میں، تیسرا SMIMEA ریکارڈ ہے (آر ایف سی میں معیاری نہیں ہے، وہاں موجود ہے۔ اس کا صرف ایک مسودہS/MIME کے ذریعے کرپٹوگرافک کلید کے تبادلے کے لیے۔

DANE کے ساتھ کیا مسئلہ ہے؟

مئی کے وسط میں، DNS-OARC کانفرنس منعقد ہوئی (یہ ایک غیر منافع بخش تنظیم ہے جو ڈومین نام کے نظام کی سلامتی، استحکام اور ترقی سے متعلق ہے)۔ پینل میں سے ایک پر ماہرین نتیجے پر پہنچےکہ براؤزرز میں DANE ٹیکنالوجی ناکام ہوگئی ہے (کم از کم اس کے موجودہ نفاذ میں)۔ کانفرنس میں موجود جیوف ہسٹن، معروف ریسرچ سائنسدان اے پی این آئی سیپانچ علاقائی انٹرنیٹ رجسٹراروں میں سے ایک، جواب دیا DANE کے بارے میں بطور "ڈیڈ ٹیکنالوجی"۔

مقبول براؤزرز DANE کا استعمال کرتے ہوئے سرٹیفکیٹ کی تصدیق کی حمایت نہیں کرتے ہیں۔ مارکیٹ پر خصوصی پلگ ان ہیں، جو TLSA ریکارڈز کی فعالیت کو ظاہر کرتا ہے، بلکہ ان کی حمایت بھی آہستہ آہستہ روکنا.

براؤزرز میں DANE کی تقسیم کے مسائل DNSSEC کی توثیق کے عمل کی لمبائی سے وابستہ ہیں۔ سسٹم کو مجبور کیا جاتا ہے کہ وہ SSL سرٹیفکیٹ کی صداقت کی تصدیق کرنے کے لیے کرپٹوگرافک حساب کتاب کرے اور پہلے کسی وسائل سے منسلک ہونے پر DNS سرورز (روٹ زون سے لے کر میزبان ڈومین تک) کی پوری چین سے گزرے۔

ایک رائے ہے: براؤزرز کے لیے DANE ٹیکنالوجی ناکام ہو گئی ہے۔
/انسپلاش/ کیلی ڈیکسٹرا

موزیلا نے میکانزم کا استعمال کرتے ہوئے اس خرابی کو ختم کرنے کی کوشش کی۔ DNSSEC چین کی توسیع TLS کے لیے۔ یہ DNS ریکارڈز کی تعداد کو کم کرنا تھا جو کلائنٹ کو تصدیق کے دوران تلاش کرنا پڑتا تھا۔ تاہم، ترقیاتی گروپ کے اندر اختلافات پیدا ہوئے جو حل نہ ہو سکے۔ نتیجے کے طور پر، اس منصوبے کو ترک کر دیا گیا، حالانکہ اسے مارچ 2018 میں IETF نے منظور کیا تھا۔

DANE کی کم مقبولیت کی ایک اور وجہ دنیا میں DNSSEC کا کم پھیلاؤ ہے۔ صرف 19% وسائل اس کے ساتھ کام کرتے ہیں۔. ماہرین نے محسوس کیا کہ یہ DANE کو فعال طور پر فروغ دینے کے لیے کافی نہیں ہے۔

سب سے زیادہ امکان ہے، صنعت ایک مختلف سمت میں ترقی کرے گا. SSL/TLS سرٹیفکیٹس کی تصدیق کے لیے DNS استعمال کرنے کے بجائے، مارکیٹ کے کھلاڑی DNS-over-TLS (DoT) اور DNS-over-HTTPS (DoH) پروٹوکول کو فروغ دیں گے۔ ہم نے اپنے ایک میں مؤخر الذکر کا ذکر کیا۔ پچھلے مواد Habré پر. وہ DNS سرور پر صارف کی درخواستوں کو خفیہ اور تصدیق کرتے ہیں، حملہ آوروں کو ڈیٹا کی جعل سازی سے روکتے ہیں۔ سال کے آغاز میں، DoT پہلے سے ہی تھا لاگو کیا Google کو اس کے عوامی DNS کے لیے۔ جہاں تک DANE کا تعلق ہے، آیا یہ ٹیکنالوجی "کاٹھی میں واپس آنے" کے قابل ہو جائے گی اور پھر بھی وسیع ہو جائے گی، یہ مستقبل میں دیکھنا باقی ہے۔

مزید پڑھنے کے لیے ہمارے پاس اور کیا ہے:

ایک رائے ہے: براؤزرز کے لیے DANE ٹیکنالوجی ناکام ہو گئی ہے۔ آئی ٹی انفراسٹرکچر مینجمنٹ کو خود کار طریقے سے کیسے بنایا جائے - تین رجحانات پر بحث
ایک رائے ہے: براؤزرز کے لیے DANE ٹیکنالوجی ناکام ہو گئی ہے۔ JMAP - ایک کھلا پروٹوکول جو ای میلز کا تبادلہ کرتے وقت IMAP کی جگہ لے گا۔

ایک رائے ہے: براؤزرز کے لیے DANE ٹیکنالوجی ناکام ہو گئی ہے۔ ایپلیکیشن پروگرامنگ انٹرفیس کے ساتھ کیسے محفوظ کریں۔
ایک رائے ہے: براؤزرز کے لیے DANE ٹیکنالوجی ناکام ہو گئی ہے۔ 1cloud.ru کی مثال استعمال کرتے ہوئے کلاؤڈ سروس میں DevOps
ایک رائے ہے: براؤزرز کے لیے DANE ٹیکنالوجی ناکام ہو گئی ہے۔ کلاؤڈ آرکیٹیکچر 1 کلاؤڈ کا ارتقاء

ایک رائے ہے: براؤزرز کے لیے DANE ٹیکنالوجی ناکام ہو گئی ہے۔ 1Cloud تکنیکی مدد کیسے کام کرتی ہے؟
ایک رائے ہے: براؤزرز کے لیے DANE ٹیکنالوجی ناکام ہو گئی ہے۔ کلاؤڈ ٹیکنالوجیز کے بارے میں خرافات

ماخذ: www.habr.com

نیا تبصرہ شامل کریں