बुनियादी ढांचा, जो इसे संभव बनाता है, मौजूद है और इसे नामांकित संस्थाओं ( डीएएनई ) का DNS- आधारित प्रमाणीकरण कहा जाता है और RFC6698 में निर्दिष्ट किया जाता है । यह एक TLSA
संसाधन रिकॉर्ड के माध्यम से काम करता है , जो प्रमाण पत्र या अंतिम इकाई की सार्वजनिक कुंजी या श्रृंखला में इसके सीए में से एक को निर्दिष्ट करता है (वास्तव में चार अलग-अलग प्रकार हैं, विवरण के लिए आरएफसी देखें)।
दत्तक ग्रहण
DANE ने हालांकि व्यापक रूप से अभी तक गोद नहीं लिया है। VeriSign पर नज़र रखता है DNSSEC और डेन गोद लेने और समय के साथ इसके विकास पटरियों :
तुलना के लिए, वेरिसाइन के अनुसार, लगभग 2.7 मिलियन DNS ज़ोन मौजूद हैं, इसलिए इसका मतलब है कि सभी ज़ोन के 1% से अधिक का कम से कम एक TLSA रिकॉर्ड है।
मैं कोई आधिकारिक जवाब नहीं दे सकता, DANE क्यों, लेकिन यहाँ मेरी अटकलें हैं:
DANE सर्टिफिकेशन रेवोकेशन लिस्ट्स (CRLs) और ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) जैसी ही समस्या से ग्रस्त है। प्रस्तुत प्रमाण पत्र की वैधता को सत्यापित करने के लिए, किसी तीसरे पक्ष से संपर्क करना होगा। हनो बोक एक अच्छा अवलोकन देता है , क्यों यह व्यवहार में एक बड़ी समस्या है। जब आप तीसरे पक्ष तक नहीं पहुंच सकते, तो यह क्या करना है, इस मुद्दे पर उबलता है। ब्राउज़र विक्रेताओं ने इस मामले में नरम-विफल (उर्फ परमिट) का विकल्प चुना , जिसने पूरी बात को व्यर्थ कर दिया और क्रोम ने अंततः 2012 में OCSP को अक्षम करने का फैसला किया।
DNSSEC
संभवतः DNS सीए के CRL और OCSP सर्वरों की तुलना में बहुत बेहतर उपलब्धता प्रदान करता है, लेकिन यह अभी भी ऑफ़लाइन सत्यापन को असंभव बनाता है। DANE के अलावा, केवल DNSSEC के साथ संयोजन में उपयोग किया जाना चाहिए। जैसा कि सामान्य डीएनएस अनधिकृत यूडीपी पर काम करता है, यह जालसाजी, एमआईटीएम हमलों आदि के लिए काफी प्रवण है। डीएनएसएसईसी का गोद लेना डीएएनई के गोद लेने की तुलना में बहुत बेहतर है, लेकिन अभी भी सर्वव्यापी से बहुत दूर है।
और DNSSEC के साथ हम फिर से सॉफ्ट-फेल समस्या में दौड़ते हैं। मेरे ज्ञान का सबसे अच्छा करने के लिए कोई प्रमुख सर्वर / क्लाइंट ऑपरेटिंग सिस्टम डिफ़ॉल्ट रूप से एक मान्य DNSSEC रिज़ॉल्वर प्रदान करता है।
फिर निरसन का मुद्दा भी है। DNSSEC में कोई निरसन तंत्र नहीं है और इसके बजाय अल्पकालिक कुंजियों पर निर्भर करता है।
सॉफ्टवेयर का समर्थन
सभी भाग लेने वाले सॉफ़्टवेयर को DANE समर्थन को लागू करना होगा।
सिद्धांत रूप में, आप सोच सकते हैं, कि यह क्रिप्टो लाइब्रेरी का काम होगा और एप्लिकेशन डेवलपर्स को बहुत कुछ नहीं करना होगा, लेकिन तथ्य यह है कि क्रिप्टोग्राफिक लाइब्रेरी आमतौर पर केवल प्रिमिटिव प्रदान करते हैं और एप्लिकेशन को बहुत सारे कॉन्फ़िगरेशन और सेटअप खुद करने होते हैं (और दुर्भाग्य से चीजों को गलत करने के कई तरीके हैं)।
मुझे पता नहीं है, उदाहरण के लिए किसी भी बड़े वेब सर्वर (जैसे Apache या nginx) ने DANE को लागू किया है या करने की योजना है। वेब सर्वर यहां विशेष महत्व रखते हैं, क्योंकि अधिक से अधिक सामान वेब प्रौद्योगिकियों पर निर्मित होते हैं और इसलिए वे अक्सर पहले होते हैं, जहां चीजें लागू होती हैं।
जब हम CRL, OCSP और OCSP स्टेपलिंग को तुलना के रूप में देखते हैं, तो हम अनुमान लगा सकते हैं कि DANE की गोद लेने की कहानी कैसी होगी। केवल कुछ एप्लिकेशन, जो OpenSSL, लिबास, GnuTLS आदि का उपयोग करते हैं, इन सुविधाओं का समर्थन करते हैं। अपाचे या नगनेक्स जैसे बड़े सॉफ्टवेयर को इसे सपोर्ट करने में कुछ समय लगा और फिर से हैनो बोके के लेख का जिक्र करते हुए उन्होंने इसे गलत बताया और उनका कार्यान्वयन त्रुटिपूर्ण है। अन्य प्रमुख सॉफ़्टवेयर प्रोजेक्ट्स, जैसे Postfix या Dovecot OCSP का समर्थन नहीं करते हैंऔर बहुत सीमित सीआरएल कार्यक्षमता है, मूल रूप से फ़ाइल सिस्टम में एक फ़ाइल की ओर इशारा करते हुए (जो जरूरी नहीं कि नियामक फिर से पढ़ा जाए, इसलिए आपको अपने सर्वर को मैन्युअल रूप से पुनः लोड करना होगा)। ध्यान रखें कि ये परियोजनाएं हैं, जो अक्सर टीएलएस का उपयोग करती हैं। फिर आप चीजों को देखना शुरू कर सकते हैं, जहां टीएलएस बहुत कम आम है, उदाहरण के लिए पोस्टग्रेक्यूएल / मायक्यूएल और शायद वे सीआरएल को सबसे अच्छे रूप में पेश करते हैं।
इसलिए मैंने आधुनिक वेब सर्वरों को भी लागू नहीं किया है और OCSP और CRL को लागू करने के लिए अन्य सॉफ्टवेयर भी नहीं मिला है, जो आपके 5 साल के एंटरप्राइज एप्लिकेशन या अप्लायंसेज के लिए सौभाग्य है।
संभावित अनुप्रयोग
तो आप वास्तव में डेन का उपयोग कहां कर सकते हैं? अब तक, सामान्य इंटरनेट पर नहीं। यदि आप सर्वर और क्लाइंट को नियंत्रित करते हैं, तो शायद यह एक विकल्प है, लेकिन इस मामले में, आप अक्सर पब्लिक-की पिनिंग का सहारा ले सकते हैं।
मेल स्पेस में, DANE को कुछ कर्षण मिल रहा है, क्योंकि SMTP में सबसे लंबे समय तक किसी भी प्रकार का प्रमाणित परिवहन एन्क्रिप्शन नहीं था। एसएमटीपी सर्वरों ने कभी-कभी एक-दूसरे के बीच टीएलएस का उपयोग किया था, लेकिन यह सत्यापित नहीं किया कि प्रमाणपत्रों में नाम वास्तव में मेल खाते हैं, वे अब डेन के माध्यम से यह जांचना शुरू कर रहे हैं।