A sọrọ nipa kini imọ-ẹrọ DANE jẹ fun ijẹrisi awọn orukọ-ašẹ nipa lilo DNS ati idi ti a ko lo ni lilo pupọ ni awọn aṣawakiri.
/ Unsplash/
Kini DANE
Awọn alaṣẹ Ijẹrisi (CAs) jẹ awọn ajo ti o cryptographic ijẹrisi . Nwọn si fi wọn itanna Ibuwọlu lori wọn, ifẹsẹmulẹ wọn ododo. Bibẹẹkọ, nigbakan awọn ipo dide nigbati awọn iwe-ẹri ti funni pẹlu awọn irufin. Fun apẹẹrẹ, ni ọdun to kọja Google ṣe ifilọlẹ “ilana igbẹkẹle” fun awọn iwe-ẹri Symantec nitori adehun wọn (a bo itan yii ni kikun ni bulọọgi wa - и ).
Lati yago fun iru awọn ipo, opolopo odun seyin IETF Imọ-ẹrọ DANE (ṣugbọn kii ṣe lilo pupọ ni awọn aṣawakiri - a yoo sọrọ nipa idi ti eyi fi ṣẹlẹ nigbamii).
DANE (Ijeri orisun-DNS ti Awọn nkan ti a npè ni) jẹ eto awọn pato ti o fun ọ laaye lati lo DNSSEC (Awọn amugbooro Aabo Eto Orukọ) lati ṣakoso ijẹri awọn iwe-ẹri SSL. DNSSEC jẹ itẹsiwaju si Eto Orukọ Aṣẹ ti o dinku ikọlu adiresi. Lilo awọn imọ-ẹrọ meji wọnyi, ọga wẹẹbu kan tabi alabara le kan si ọkan ninu awọn oniṣẹ agbegbe DNS ki o jẹrisi iwulo ijẹrisi ti o nlo.
Ni pataki, DANE ṣiṣẹ bi ijẹrisi ti ara ẹni (oludari ti igbẹkẹle rẹ jẹ DNSSEC) ati pe o ṣe awọn iṣẹ ti CA kan.
Báwo ni ise yi
Sipesifikesonu DANE jẹ apejuwe ninu . Gẹgẹbi iwe-ipamọ, in a titun iru ti a fi kun - TLSA. O ni alaye nipa gbigbe ijẹrisi naa, iwọn ati iru data ti n gbe, ati data funrararẹ. Ọga wẹẹbu ṣẹda atanpako oni-nọmba ti ijẹrisi naa, forukọsilẹ pẹlu DNSSEC, o si gbe e si TLSA.
Onibara sopọ si aaye kan lori Intanẹẹti ati ṣe afiwe ijẹrisi rẹ pẹlu “daakọ” ti o gba lati ọdọ oniṣẹ DNS. Ti wọn ba baamu, lẹhinna orisun naa ni a gba pe o gbẹkẹle.
Oju-iwe wiki DANE n pese apẹẹrẹ atẹle ti ibeere DNS si example.org lori ibudo TCP 443:
IN TLSA _443._tcp.example.orgIdahun naa dabi eyi:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE ni ọpọlọpọ awọn amugbooro ti o ṣiṣẹ pẹlu awọn igbasilẹ DNS yatọ si TLSA. Ni igba akọkọ ti SSHFP DNS igbasilẹ fun afọwọsi awọn bọtini lori SSH awọn isopọ. O ti wa ni apejuwe ninu , и . Èkejì ni titẹsi OPENPGPKEY fun paṣipaarọ bọtini nipa lilo PGP (). Nikẹhin, ẹkẹta ni igbasilẹ SMIMEA (boṣewa ko ṣe agbekalẹ ni RFC, o wa ) fun paṣipaarọ bọtini cryptographic nipasẹ S/MIME.
Kini iṣoro pẹlu DANE
Ni aarin-May, apejọ DNS-OARC ti waye (eyi jẹ agbari ti kii ṣe èrè ti o ṣe pẹlu aabo, iduroṣinṣin ati idagbasoke ti eto orukọ ìkápá). Amoye lori ọkan ninu awọn paneli pe imọ-ẹrọ DANE ni awọn aṣawakiri ti kuna (o kere ju ni imuse lọwọlọwọ). Wa ni apejọ Geoff Huston, Onimọ-jinlẹ Iwadi Asiwaju , ọkan ninu marun awọn iforukọsilẹ Intanẹẹti agbegbe, nipa DANE bi "imọ-ẹrọ ti o ku".
Awọn aṣawakiri olokiki ko ṣe atilẹyin ijẹrisi ijẹrisi nipa lilo DANE. Lori ọja , eyi ti o ṣe afihan iṣẹ-ṣiṣe ti awọn igbasilẹ TLSA, ṣugbọn tun atilẹyin wọn .
Awọn iṣoro pẹlu pinpin DANE ni awọn aṣawakiri ni nkan ṣe pẹlu ipari ti ilana afọwọsi DNSSEC. Eto naa ti fi agbara mu lati ṣe awọn iṣiro cryptographic lati jẹrisi otitọ ti ijẹrisi SSL ati lọ nipasẹ gbogbo pq ti awọn olupin DNS (lati agbegbe gbongbo si agbegbe agbalejo) nigbati o ba sopọ akọkọ si orisun kan.
/ Unsplash/
Mozilla gbiyanju lati se imukuro yi drawback lilo awọn siseto fun TLS. O yẹ lati dinku nọmba awọn igbasilẹ DNS ti alabara ni lati wo lakoko ijẹrisi. Sibẹsibẹ, awọn ariyanjiyan dide laarin ẹgbẹ idagbasoke ti ko le yanju. Bi abajade, a kọ iṣẹ naa silẹ, botilẹjẹpe o fọwọsi nipasẹ IETF ni Oṣu Kẹta ọdun 2018.
Idi miiran fun olokiki kekere ti DANE ni itankalẹ kekere ti DNSSEC ni agbaye - . Awọn amoye ro pe eyi ko to lati ṣe agbega Dane taara.
O ṣeese julọ, ile-iṣẹ naa yoo dagbasoke ni itọsọna ti o yatọ. Dipo lilo DNS lati jẹrisi awọn iwe-ẹri SSL/TLS, awọn oṣere ọja yoo dipo igbega DNS-over-TLS (DoT) ati awọn ilana DNS-over-HTTPS (DoH). A mẹnuba igbehin ninu ọkan ninu wa lori Habré. Wọn ṣe encrypt ati rii daju awọn ibeere olumulo si olupin DNS, ni idilọwọ awọn ikọlu lati jijẹ data. Ni ibẹrẹ ọdun, DoT ti wa tẹlẹ si Google fun DNS ti gbogbo eniyan. Bi fun DANE, boya imọ-ẹrọ yoo ni anfani lati “pada sinu gàárì” ati pe o tun di ibigbogbo ti o ku lati rii ni ọjọ iwaju.
Kini ohun miiran ti a ni fun kika siwaju:
orisun: www.habr.com