ProHoster > Blog > Ma'muriyat > Bir fikr bor: brauzerlar uchun DANE texnologiyasi muvaffaqiyatsiz tugadi
Bir fikr bor: brauzerlar uchun DANE texnologiyasi muvaffaqiyatsiz tugadi
Biz DNS yordamida domen nomlarini autentifikatsiya qilish uchun DANE texnologiyasi nima ekanligini va nima uchun u brauzerlarda keng qo'llanilmasligi haqida gapiramiz.
Sertifikatlashtirish idoralari (CA) tashkilotlardir shug'ullanadilar kriptografik sertifikat SSL sertifikatlari. Ular o'zlarining elektron imzolarini qo'yib, ularning haqiqiyligini tasdiqlaydilar. Biroq, ba'zida sertifikatlar buzilishlar bilan berilganda vaziyatlar yuzaga keladi. Misol uchun, o'tgan yili Google Symantec sertifikatlarining murosaga kelishi sababli "ishonchni yo'qotish tartibini" boshladi (biz bu voqeani blogimizda batafsil ko'rib chiqdik - vaqt ΠΈ Π΄Π²Π°).
Bunday holatlarning oldini olish uchun bir necha yil oldin IETF rivojlana boshladi DANE texnologiyasi (lekin u brauzerlarda keng qo'llanilmaydi - nima uchun bu sodir bo'lganligi haqida keyinroq gaplashamiz).
DANE (Nomlangan ob'ektlarning DNS asosidagi autentifikatsiyasi) - bu SSL sertifikatlarining haqiqiyligini nazorat qilish uchun DNSSEC (Name System Security Extensions) dan foydalanish imkonini beruvchi spetsifikatsiyalar to'plami. DNSSEC - bu domen nomlari tizimining kengaytmasi bo'lib, manzilni buzish hujumlarini minimallashtiradi. Ushbu ikkita texnologiyadan foydalangan holda veb-master yoki mijoz DNS zonasi operatorlaridan biri bilan bog'lanishi va foydalanilayotgan sertifikatning haqiqiyligini tasdiqlashi mumkin.
Aslida, DANE o'z-o'zidan imzolangan sertifikat sifatida ishlaydi (uning ishonchliligi kafolati DNSSEC) va CA funktsiyalarini to'ldiradi.
U qanday ishlaydi
DANE spetsifikatsiyasi maqolada tasvirlangan RFC6698. Hujjatga ko'ra, in DNS resurs yozuvlari yangi tur qo'shildi - TLSA. U o'tkazilayotgan sertifikat, uzatilayotgan ma'lumotlarning hajmi va turi, shuningdek ma'lumotlarning o'zi haqida ma'lumotni o'z ichiga oladi. Veb-master sertifikatning raqamli bosh barmoq izini yaratadi, uni DNSSEC bilan imzolaydi va TLSA-ga joylashtiradi.
Mijoz Internetdagi saytga ulanadi va uning sertifikatini DNS operatoridan olingan "nusxa" bilan solishtiradi. Agar ular mos kelsa, u holda resurs ishonchli hisoblanadi.
DANE wiki sahifasi TCP 443 portida example.org saytiga DNS so'rovining quyidagi misolini taqdim etadi:
IN TLSA _443._tcp.example.org
Javob quyidagicha ko'rinadi:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE-da TLSA-dan boshqa DNS yozuvlari bilan ishlaydigan bir nechta kengaytmalar mavjud. Birinchisi, SSH ulanishlarida kalitlarni tekshirish uchun SSHFP DNS yozuvi. da tasvirlangan RFC4255, RFC6594 ΠΈ RFC7479. Ikkinchisi, PGP yordamida kalit almashinuvi uchun OPENPGPKEY yozuvi (RFC7929). Nihoyat, uchinchisi - SMIMEA rekordi (standart RFCda rasmiylashtirilmagan, mavjud faqat uning loyihasi) S/MIME orqali kriptografik kalit almashinuvi uchun.
DANE bilan nima muammo
May oyining o'rtalarida DNS-OARC konferentsiyasi bo'lib o'tdi (bu notijorat tashkilot bo'lib, xavfsizlik, barqarorlik va domen nomlari tizimining rivojlanishi bilan shug'ullanadi). Panellardan birida mutaxassislar xulosaga keldibrauzerlarda DANE texnologiyasi muvaffaqiyatsizlikka uchragan (hech bo'lmaganda joriy tatbiqida). Konferentsiyada ishtirok etuvchi Jeoff Huston, yetakchi tadqiqotchi olim APNIK, beshta mintaqaviy Internet registratorlaridan biri, javob berdi DANE haqida "o'lik texnologiya" sifatida.
Mashhur brauzerlar DANE yordamida sertifikat autentifikatsiyasini qo'llab-quvvatlamaydi. Bozorda maxsus plaginlar mavjud, bu TLSA yozuvlarining funksionalligini ochib beradi, balki ularni qo'llab-quvvatlaydi asta-sekin to'xtating.
Brauzerlarda DANE tarqatish bilan bog'liq muammolar DNSSEC tekshirish jarayonining davomiyligi bilan bog'liq. Resursga birinchi ulanishda tizim SSL sertifikatining haqiqiyligini tasdiqlash uchun kriptografik hisob-kitoblarni amalga oshirishga va DNS-serverlarning butun zanjiridan (ildiz zonasidan xost domeniga) o'tishga majbur bo'ladi.
Mozilla ushbu kamchilikni mexanizm yordamida bartaraf etishga harakat qildi DNSSEC zanjiri kengaytmasi TLS uchun. Bu mijoz autentifikatsiya paytida qidirishi kerak bo'lgan DNS yozuvlari sonini kamaytirishi kerak edi. Biroq, rivojlanish guruhi ichida hal qilib bo'lmaydigan kelishmovchiliklar paydo bo'ldi. Natijada, loyiha 2018 yil mart oyida IETF tomonidan ma'qullangan bo'lsa-da, undan voz kechildi.
DANE-ning past mashhurligining yana bir sababi DNSSEC-ning dunyoda kam tarqalishidir - resurslarning faqat 19% u bilan ishlaydi. Mutaxassislarning fikricha, bu DANE-ni faol targ'ib qilish uchun etarli emas.