Biz DNS yordamida domen nomlarini autentifikatsiya qilish uchun DANE texnologiyasi nima ekanligini va nima uchun u brauzerlarda keng qo'llanilmasligi haqida gapiramiz.
/Usplash/
DANE nima
Sertifikatlashtirish idoralari (CA) tashkilotlardir kriptografik sertifikat . Ular o'zlarining elektron imzolarini qo'yib, ularning haqiqiyligini tasdiqlaydilar. Biroq, ba'zida sertifikatlar buzilishlar bilan berilganda vaziyatlar yuzaga keladi. Misol uchun, o'tgan yili Google Symantec sertifikatlarining murosaga kelishi sababli "ishonchni yo'qotish tartibini" boshladi (biz bu voqeani blogimizda batafsil ko'rib chiqdik - ΠΈ ).
Bunday holatlarning oldini olish uchun bir necha yil oldin IETF DANE texnologiyasi (lekin u brauzerlarda keng qo'llanilmaydi - nima uchun bu sodir bo'lganligi haqida keyinroq gaplashamiz).
DANE (Nomlangan ob'ektlarning DNS asosidagi autentifikatsiyasi) - bu SSL sertifikatlarining haqiqiyligini nazorat qilish uchun DNSSEC (Name System Security Extensions) dan foydalanish imkonini beruvchi spetsifikatsiyalar to'plami. DNSSEC - bu domen nomlari tizimining kengaytmasi bo'lib, manzilni buzish hujumlarini minimallashtiradi. Ushbu ikkita texnologiyadan foydalangan holda veb-master yoki mijoz DNS zonasi operatorlaridan biri bilan bog'lanishi va foydalanilayotgan sertifikatning haqiqiyligini tasdiqlashi mumkin.
Aslida, DANE o'z-o'zidan imzolangan sertifikat sifatida ishlaydi (uning ishonchliligi kafolati DNSSEC) va CA funktsiyalarini to'ldiradi.
U qanday ishlaydi
DANE spetsifikatsiyasi maqolada tasvirlangan . Hujjatga ko'ra, in yangi tur qo'shildi - TLSA. U o'tkazilayotgan sertifikat, uzatilayotgan ma'lumotlarning hajmi va turi, shuningdek ma'lumotlarning o'zi haqida ma'lumotni o'z ichiga oladi. Veb-master sertifikatning raqamli bosh barmoq izini yaratadi, uni DNSSEC bilan imzolaydi va TLSA-ga joylashtiradi.
Mijoz Internetdagi saytga ulanadi va uning sertifikatini DNS operatoridan olingan "nusxa" bilan solishtiradi. Agar ular mos kelsa, u holda resurs ishonchli hisoblanadi.
DANE wiki sahifasi TCP 443 portida example.org saytiga DNS so'rovining quyidagi misolini taqdim etadi:
IN TLSA _443._tcp.example.orgJavob quyidagicha ko'rinadi:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE-da TLSA-dan boshqa DNS yozuvlari bilan ishlaydigan bir nechta kengaytmalar mavjud. Birinchisi, SSH ulanishlarida kalitlarni tekshirish uchun SSHFP DNS yozuvi. da tasvirlangan , ΠΈ . Ikkinchisi, PGP yordamida kalit almashinuvi uchun OPENPGPKEY yozuvi (). Nihoyat, uchinchisi - SMIMEA rekordi (standart RFCda rasmiylashtirilmagan, mavjud ) S/MIME orqali kriptografik kalit almashinuvi uchun.
DANE bilan nima muammo
May oyining o'rtalarida DNS-OARC konferentsiyasi bo'lib o'tdi (bu notijorat tashkilot bo'lib, xavfsizlik, barqarorlik va domen nomlari tizimining rivojlanishi bilan shug'ullanadi). Panellardan birida mutaxassislar brauzerlarda DANE texnologiyasi muvaffaqiyatsizlikka uchragan (hech bo'lmaganda joriy tatbiqida). Konferentsiyada ishtirok etuvchi Jeoff Huston, yetakchi tadqiqotchi olim , beshta mintaqaviy Internet registratorlaridan biri, DANE haqida "o'lik texnologiya" sifatida.
Mashhur brauzerlar DANE yordamida sertifikat autentifikatsiyasini qo'llab-quvvatlamaydi. Bozorda , bu TLSA yozuvlarining funksionalligini ochib beradi, balki ularni qo'llab-quvvatlaydi .
Brauzerlarda DANE tarqatish bilan bog'liq muammolar DNSSEC tekshirish jarayonining davomiyligi bilan bog'liq. Resursga birinchi ulanishda tizim SSL sertifikatining haqiqiyligini tasdiqlash uchun kriptografik hisob-kitoblarni amalga oshirishga va DNS-serverlarning butun zanjiridan (ildiz zonasidan xost domeniga) o'tishga majbur bo'ladi.
/Usplash/
Mozilla ushbu kamchilikni mexanizm yordamida bartaraf etishga harakat qildi TLS uchun. Bu mijoz autentifikatsiya paytida qidirishi kerak bo'lgan DNS yozuvlari sonini kamaytirishi kerak edi. Biroq, rivojlanish guruhi ichida hal qilib bo'lmaydigan kelishmovchiliklar paydo bo'ldi. Natijada, loyiha 2018 yil mart oyida IETF tomonidan ma'qullangan bo'lsa-da, undan voz kechildi.
DANE-ning past mashhurligining yana bir sababi DNSSEC-ning dunyoda kam tarqalishidir - . Mutaxassislarning fikricha, bu DANE-ni faol targ'ib qilish uchun etarli emas.
Katta ehtimol bilan sanoat boshqa yo'nalishda rivojlanadi. SSL/TLS sertifikatlarini tekshirish uchun DNS-dan foydalanish o'rniga, bozor ishtirokchilari DNS-over-TLS (DoT) va DNS-over-HTTPS (DoH) protokollarini targ'ib qilishadi. Ikkinchisini biz birida eslatib o'tdik HabrΓ©-da. Ular DNS serveriga foydalanuvchi so'rovlarini shifrlaydi va tekshiradi, bu esa tajovuzkorlarning ma'lumotlarni soxtalashtirishining oldini oladi. Yil boshida DoT allaqachon edi Umumiy DNS uchun Google-ga. DANE-ga kelsak, texnologiya "egarga qaytishi" va hali ham keng tarqala oladimi, kelajakda ko'rish kerak.
Qo'shimcha o'qish uchun bizda yana nima bor:
Manba: www.habr.com