कुछ का कहना है कि ब्राउज़रों के लिए DANE तकनीक विफल रही है

हम बात कर रहे हैं कि डीएएनई तकनीक DNS डोमेन नाम प्रमाणीकरण के लिए क्या है और इसका व्यापक रूप से ब्राउज़रों में उपयोग क्यों नहीं किया जाता है।


/ अनप्लैश / पॉलियस ड्रैगनास

दान क्या है

प्रमाणपत्र प्राधिकारी (CA) ऐसे संगठन हैं जो क्रिप्टोग्राफ़िक SSL प्रमाणपत्र प्रमाणित करते हैं। उन्होंने प्रामाणिकता की पुष्टि करते हुए, अपने इलेक्ट्रॉनिक हस्ताक्षर उन पर डाल दिए। हालांकि, कभी-कभी ऐसे हालात पैदा होते हैं जब प्रमाणपत्र उल्लंघन के साथ जारी किए जाते हैं। उदाहरण के लिए, पिछले साल Google ने अपने समझौते के कारण सिमेंटेक प्रमाणपत्रों के लिए "विश्वास की समाप्ति" प्रक्रिया शुरू की (हमने इस कहानी को अपने ब्लॉग में विस्तार से कवर किया - एक या दो बार )।

ऐसी स्थितियों से बचने के लिए, कुछ साल पहले, IETF ने DANE तकनीक विकसित करना शुरू किया था (लेकिन इसका व्यापक रूप से ब्राउज़रों में उपयोग नहीं किया गया था - ऐसा क्यों होता है, हम बाद में बात करेंगे)।

DANE (DNS- आधारित प्रमाणीकरण का नामांकित संस्थाओं का) विनिर्देशों का एक सेट है जो आपको SSL प्रमाणपत्र की वैधता को नियंत्रित करने के लिए DNSSEC (नाम सिस्टम सुरक्षा एक्सटेंशन) का उपयोग करने की अनुमति देता है। DNSSEC डोमेन नाम प्रणाली के लिए एक विस्तार है जो स्पूफिंग से जुड़े हमलों को कम करता है। इन दो तकनीकों का उपयोग करके, वेबमास्टर या क्लाइंट DNS ज़ोन ऑपरेटरों में से एक से संपर्क कर सकते हैं और उपयोग किए गए प्रमाण पत्र की वैधता की पुष्टि कर सकते हैं।

वास्तव में, DANE एक स्व-हस्ताक्षरित प्रमाण पत्र के रूप में कार्य करता है (DNSSEC इसकी विश्वसनीयता का गारंटर है) और CA के कार्यों का अनुपालन करता है।

यह कैसे काम करता है

DANE विनिर्देश RFC6698 में वर्णित है। दस्तावेज़ के अनुसार, DNS संसाधन रिकॉर्ड - TLSA में एक नया प्रकार जोड़ा गया था। इसमें प्रेषित प्रमाण पत्र, प्रेषित डेटा का आकार और प्रकार, साथ ही डेटा के बारे में जानकारी शामिल है। वेबमास्टर प्रमाणपत्र का एक डिजिटल फिंगरप्रिंट बनाता है, इसे DNSSEC के साथ हस्ताक्षर करता है, और इसे TLSA में रखता है।

क्लाइंट इंटरनेट पर साइट से जुड़ता है और अपने प्रमाणपत्र की तुलना DNS ऑपरेटर से प्राप्त "कॉपी" से करता है। यदि वे मेल खाते हैं, तो संसाधन को विश्वसनीय माना जाता है।

DANE विकी पृष्ठ उदाहरण के लिए DNS क्वेरी निम्नलिखित प्रदान करता है। उदाहरण के लिए TCP पोर्ट 443 पर सर्वर:

IN TLSA _443._tcp.example.org 

इसका उत्तर इस तरह दिखता है:

  _443._tcp.example.com. IN TLSA ( 3 0 0 30820307308201efa003020102020... ) 

DANE में कई एक्सटेंशन हैं जो TLSA के अलावा अन्य DNS रिकॉर्ड के साथ काम करते हैं। SSH कनेक्शन के लिए कुंजी सत्यापन के लिए पहला SSHFP DNS रिकॉर्ड है। यह RFC4255 , RFC6594 और RFC7479 में वर्णित है। दूसरा PGP ( RFC7929 ) का उपयोग करते हुए प्रमुख एक्सचेंज के लिए OPENPGPKEY प्रविष्टि है। अंत में, तीसरा SMIMEA रिकॉर्ड है (मानक RFC में तैयार नहीं है, S / MIME के ​​माध्यम से क्रिप्टोग्राफिक कुंजी विनिमय के लिए केवल इसका मसौदा है )।

DANE को क्या समस्या है

मध्य मई में, DNS-OARC सम्मेलन आयोजित किया गया था (यह एक गैर-लाभकारी संगठन है जो डोमेन नाम प्रणाली की सुरक्षा, स्थिरता और विकास से संबंधित है)। पैनल में से एक पर, विशेषज्ञों ने निष्कर्ष निकाला कि ब्राउज़रों में डीएएनई तकनीक विफल रही (कम से कम वर्तमान कार्यान्वयन में)। सम्मेलन में भाग लेते हुए, एपीएनआईसी के पांच वरिष्ठ इंटरनेट रजिस्ट्रारों में से एक जेओएन हस्टोन , एक वरिष्ठ साथी, ने डीएएनई को "मृत प्रौद्योगिकी" कहा।

लोकप्रिय ब्राउज़र DANE के साथ प्रमाणपत्र प्रमाणीकरण का समर्थन नहीं करते हैं। बाजार पर विशेष प्लगइन्स हैं जो टीएलएसए रिकॉर्ड की कार्यक्षमता को प्रकट करते हैं, लेकिन उनके समर्थन को धीरे-धीरे चरणबद्ध किया जा रहा है ।

ब्राउज़रों में DANE के प्रसार की समस्याएं DNSSEC सत्यापन प्रक्रिया की अवधि से जुड़ी हैं। पहली बार संसाधन से कनेक्ट होने पर एसएसएल प्रमाणपत्र की प्रामाणिकता की पुष्टि करने और DNS सर्वर (रूट ज़ोन से होस्ट डोमेन तक) की पूरी श्रृंखला से गुजरने के लिए सिस्टम को क्रिप्टोग्राफ़िक गणना करने के लिए मजबूर किया जाता है।


/ अनपलाश / काले द्यस्त्र

टीएलएस के लिए DNSSEC चेन एक्सटेंशन का उपयोग करके मोज़िला में इस दोष की कोशिश की गई थी। यह डीएनएस रिकॉर्ड की संख्या को कम करने वाला था जिसे ग्राहक को प्रमाणीकरण के दौरान देखना था। हालाँकि, विकास टीम के भीतर असहमति पैदा हुई जिसे हल नहीं किया जा सका। नतीजतन, परियोजना को छोड़ दिया गया था, हालांकि इसे मार्च 2018 में IETF द्वारा अनुमोदित किया गया था।

DANE की कम लोकप्रियता का एक अन्य कारण दुनिया में DNSSEC का कम प्रसार है - केवल 19% संसाधन इसके लिए काम करते हैं । विशेषज्ञों ने महसूस किया कि यह डेन को सक्रिय रूप से बढ़ावा देने के लिए पर्याप्त नहीं था।

सबसे अधिक संभावना है, उद्योग एक अलग दिशा में विकसित होगा। SSL / TLS प्रमाणपत्रों को सत्यापित करने के लिए DNS का उपयोग करने के बजाय, बाज़ार के खिलाड़ी, इसके विपरीत, DNS-over-TLS (DoT) और DNS-over-HTTPS (DoH) प्रोटोकॉल को बढ़ावा देंगे। हमने अपने पिछले सभी सामग्रियों में से एक का उल्लेख किया है। वे DNS सर्वर पर उपयोगकर्ता अनुरोधों को एन्क्रिप्ट और सत्यापित करते हैं, हमलावरों को डेटा को खराब करने से रोकते हैं। वर्ष की शुरुआत में, DoT को पहले ही Google पर अपने सार्वजनिक DNS के लिए लागू कर दिया गया था। DANE के लिए, क्या तकनीक "काठी में लौटने में सक्षम होगी" और अभी भी बड़े पैमाने पर बन गई है, भविष्य में देखा जाना बाकी है।

<sup>अतिरिक्त पढ़ने के लिए हमारे पास और क्या है:

आईटी इन्फ्रास्ट्रक्चर प्रबंधन को स्वचालित कैसे करें - तीन रुझानों पर चर्चा करें
JMAP - ईमेल का आदान-प्रदान करते समय एक खुला प्रोटोकॉल IMAP को बदल देता है

एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस का उपयोग करके पैसे कैसे बचाएं
एक उदाहरण के रूप में 1cloud.ru का उपयोग करके क्लाउड सेवा में DevOps
1 क्लॉउड क्लाउड आर्किटेक्चर इवोल्यूशन

1क्लूड टेक सपोर्ट कैसे काम करता है
मेघ मिथक</sup>