লেটসক্রিপ্টের পরিবর্তে ডিএনএস-রেকর্ডের মাধ্যমে স্ব স্ব স্বাক্ষরিত শংসাপত্রগুলি কেন বৈধ নয়

16

আমি শুধু অবাক হচ্ছিলাম. আমরা প্রচুর এসএসএল শংসাপত্র ব্যবহার করি। আজকাল, আমরা প্রায় একচেটিয়াভাবে লেটসনক্রিপ্ট ব্যবহার করি (ধন্যবাদ!) এই শংসাপত্রগুলির নীচের লাইনটি হ'ল, শংসাপত্রের ডোমেন নেম (গুলি) এর মালিকানার প্রমাণটি এই ডোমেনগুলির অধীনে ডিএনএস রেকর্ডগুলি বা ওয়েবসাইটকে ম্যানিপুলেট করার ক্ষমতা থেকে আসে। ডিএনএসের প্রমাণটি ডিএনএসে টিএক্সটি রেকর্ড হিসাবে কিছু কী (লেটসক্রিপ্ট দ্বারা প্রদত্ত) যুক্ত করে আসে।

সুতরাং, যদি কোনও ডোমেনের জন্য ডিএনএস রেকর্ডগুলি পরিবর্তন করতে সক্ষম হওয়ার পক্ষে যথেষ্ট প্রমাণ হয় তবে ডিএনএসে ফিঙ্গারপ্রিন্ট সহ স্ব স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করবেন না কেন?

আমি বলব যে এটি লেটসেনক্রিপ্ট (এবং অন্যান্য সিএ এর) এর ডিএনএস ভিত্তিক প্রক্রিয়া হিসাবে ঠিক একই পরিমাণ বিশ্বাসের পরিমাণ দেয়:

  1. একটি স্ব স্ব স্বাক্ষরিত সিএ তৈরি করুন (কীভাবে করা যায় তার বিভিন্ন পদক্ষেপগুলি অনুসরণ করুন)
  2. কিছু ডোমেইনের জন্য একটি শংসাপত্র তৈরি করুন
  3. পদক্ষেপ 2 থেকে সিএ দিয়ে ধাপ 2 থেকে শংসাপত্রটি স্বাক্ষর করুন 1 পদক্ষেপ থেকে আপনার এখন একটি প্রাথমিক শংসাপত্র রয়েছে, অবিশ্বস্ত সিএ স্বাক্ষরিত
  4. প্রতিটি ডোমেনের ডিএনএসে একটি টিএক্সটি (বা উত্সর্গীকৃত) রেকর্ড যুক্ত করুন, উল্লেখ করে: আমরা এই সিএ দিয়ে এই ডোমেনের শংসাপত্রটিতে স্বাক্ষর করেছি। পছন্দ: 'CA =-CA এর ফিঙ্গারপিন্ট-'
  5. একটি ব্রাউজার শংসাপত্রটি ডাউনলোড করে এবং প্রদত্ত ডোমেনের জন্য ডিএনএসে থাকা ডেটার সাথে সিএ / সিএ শংসাপত্রের ফিঙ্গারপ্রিন্টের তুলনা করে এটি যাচাই করে।

এটি তৃতীয় পক্ষের হস্তক্ষেপ ছাড়াই বিশ্বাসযোগ্য স্ব স্ব স্বাক্ষরযুক্ত শংসাপত্রগুলি তৈরি করতে সক্ষম করবে, কোনও বেসিক এসএসএল শংসাপত্রের মতো একই বিশ্বস্ত স্তরের। যতক্ষণ আপনি ডিএনএসে অ্যাক্সেস পাবেন ততক্ষণ আপনার শংসাপত্রটি বৈধ। এমনকি ডিএনএস রেকর্ডে পরিবর্তনের ফলে আস্থা অদৃশ্য হয়ে যায় তা নিশ্চিত করার জন্য, কেউ কেউ এনডিপশন, সিএ প্লাস এসওএ-রেকর্ডের বাইরে একটি হ্যাশ তৈরির মতো কিছু ডিএনএসএসইসি যুক্ত করতে পারে।

এটি আগে বিবেচনা করা হয়েছে?

Jelmer

domain-name-system  ssl  certificate-authority  lets-encrypt  self-signed-certificate 
জেলমার জেলিমা
সূত্র
3
প্রাসঙ্গিক: সরঞ্জাম. ietf.org/html/rfc6698
হাকান লিন্ডকভিস্ট
ধন্যবাদ হাকান! একটি আপডেটের মাধ্যমে, আমি এই আরএফসির জন্য DANE শব্দটি পেয়েছি। আরএফসির শেষ সংস্করণ: সরঞ্জাম. ietf.org/html/rfc7671 আরও দেখুন: en.wikedia.org/wiki/… (আমি পরে এটি পড়ব)।
জেলমার জেল্লেমা
2
"কেন নয়" এটি আরএফসি হাকান লিঙ্কেও আচ্ছাদিত রয়েছে: ডিএনএসএসইসি ব্যতীত ডিএনএসের অন্তর্গত দুর্বলতার কারণে পুরো মডেলের নির্ভরযোগ্যতা আপস করা হয়েছে। এটিও লক্ষ করা উচিত যে ডিএনএসএসইসি ক্লায়েন্ট এবং পুনরাবৃত্ত সিস্টেমগুলির মধ্যে ট্র্যাফিক সুরক্ষার জন্য কিছুই করে না, যা মাঝের স্পোফিংয়ের জন্য মানুষের কাছে সংবেদনশীল।
অ্যান্ড্রু বি
অ্যান্ড্রু, আমি ডিএনএসএসইসি এবং এমআইডিএম এর সাথে সমস্যাটি দেখতে পাচ্ছি, যখন ডিএনএসএসইসি কোনও ডোমেনের জন্য বাধ্য করা হয় না, এবং জোর করা কেবল তখনই করা যেতে পারে যখন প্রত্যেকটি লুক টিএলডির জন্য রুট ডোমেন সার্ভারটি পরীক্ষা করে করা হয়। সুতরাং সমস্যাটি হ'ল: আমরা তার ডিভিডি-শংসাপত্রের মালিকানার অবস্থানটি বৈধতার কথা বলে তাকে অনুমোদন দিতে চাই, তবে ডিএনএসের এটি শ্রেণিবদ্ধ প্রকৃতির কারণে আমরা বিশ্বাস করতে পারি না। ডিএনএস স্পোফিংয়ের পক্ষে অশ্লীল এবং এমআইডিএম-আক্রমণগুলি ডিভি সার্টিফিকেটকে কোনও ডোমেন প্রবেশের বহিরাগত বৈধতার জন্য সাজিয়ে তোলে। হুম, আমি ভাবতে থাকব ...
জেলমার জেল্লেমা
2
dave_thompson_085

উত্তর:

18

বেসিক অবকাঠামো, এটি এটি সম্ভব করে তোলে, এটি বিদ্যমান এবং নামকৃত সংস্থাগুলির DNS- ভিত্তিক প্রমাণীকরণ (DANE) নামে পরিচিত এবং আরএফসি 6698উল্লিখিত । এটি একটি TLSAরিসোর্স রেকর্ডের মাধ্যমে কাজ করে , যা শৃঙ্খলায় শংসাপত্র বা তার শেষ সত্তার পাবলিক কী বা এর একটি সিএ নির্দিষ্ট করে দেয় (আসলে চারটি ভিন্ন ধরণের রয়েছে, বিশদের জন্য আরএফসি দেখুন)।

গ্রহণ

DANE তবে এখনও ব্যাপকভাবে গ্রহণ করতে পারেনি। VeriSign নিরীক্ষণ ডিএনেসএসইসি এবং DANE গ্রহণ এবং সময়ের সাথে তার বৃদ্ধি ট্র্যাক :

17 জুনের মধ্যে বিশ্বব্যাপী টিএলএসএ মোতায়েন

তুলনার জন্য, ভেরি সিগন অনুসারে, প্রায় ২.7 মিলিয়ন ডিএনএস জোন রয়েছে, এর অর্থ এই যে সমস্ত অঞ্চলের ১% এরও বেশি কমপক্ষে একটি টিএলএসএ রেকর্ড রয়েছে।

আমি কোনও অনুমোদনমূলক উত্তর দিতে পারি না, কেন ড্যান, তবে এখানে আমার অনুমানগুলি রয়েছে:

DANE শংসাপত্র প্রত্যাহার তালিকা (সিআরএল) এবং অনলাইন শংসাপত্রের স্থিতি প্রোটোকল (ওসিএসপি) এর মতো একই সমস্যায় ভুগছে। উপস্থাপিত শংসাপত্রের বৈধতা যাচাই করতে, একটি তৃতীয় পক্ষের সাথে যোগাযোগ করতে হবে। হ্যানো বাক একটি ভাল ওভারভিউ দেয় , কেন এটি অনুশীলনে একটি বড় সমস্যা। আপনি যখন তৃতীয় পক্ষের কাছে পৌঁছাতে পারবেন না তখন কী করতে হবে তা নিয়ে এটি উত্সাহিত হয়। ব্রাউজার বিক্রেতারা এই ক্ষেত্রে সফট-ফেইল (ওরফে পারমিট) বেছে নিয়েছিল যা পুরো বিষয়টি বরং অর্থহীন করে তুলেছে এবং ক্রোম শেষ পর্যন্ত ২০১২ সালে ওসিএসপি অক্ষম করার সিদ্ধান্ত নিয়েছে।

ডিএনেসএসইসি

যুক্তিযুক্তভাবে ডিএনএস সিএর সিআরএল এবং ওসিএসপি সার্ভারগুলির তুলনায় অনেক ভাল উপলভ্যতা সরবরাহ করে তবে এটি অফলাইন যাচাইকরণকে অসম্ভব করে তোলে। DANE ছাড়াও, কেবল ডিএনএসএসইসির সাথে একত্রে ব্যবহার করা উচিত। সাধারণ ডিএনএস অ-অনুমোদনপ্রাপ্ত ইউডিপি-র উপর পরিচালিত হওয়ায় এটি নকল, এমআইটিএম আক্রমণ ইত্যাদির যথেষ্ট ঝুঁকিপূর্ণ। ডিএনএসইসি গ্রহণ DANE গ্রহণের চেয়ে অনেক ভাল, তবে এখনও সর্বব্যাপী থেকে অনেক দূরে।

এবং ডিএনএসএসইসি দিয়ে আমরা আবারও সফট-ব্যর্থ সমস্যার দিকে ধাবিত হই। আমার জ্ঞানের সর্বোপরি কোনও বড় সার্ভার / ক্লায়েন্ট অপারেটিং সিস্টেম ডিফল্টরূপে একটি বৈধকরণকারী ডিএনএসএসইসি রেজলভার সরবরাহ করে না।

তারপরে প্রত্যাহারের বিষয়টিও রয়েছে। ডিএনএসএসইসির কোনও প্রত্যাহার ব্যবস্থা নেই এবং পরিবর্তে স্বল্পজীবী কীগুলিতে নির্ভর করে।

সফ্টওয়্যার সহায়তা

সমস্ত অংশগ্রহণকারী সফ্টওয়্যার অবশ্যই DANE সমর্থন বাস্তবায়ন করতে হবে।

তত্ত্বের মধ্যে, আপনি ভাবতে পারেন, এটি ক্রিপ্টো গ্রন্থাগারগুলির কাজ এবং অ্যাপ্লিকেশন বিকাশকারীদের খুব বেশি কিছু করতে হবে না তবে সত্যটি হ'ল, ক্রিপ্টোগ্রাফিক লাইব্রেরিগুলি সাধারণত আদিম সরবরাহ করে এবং অ্যাপ্লিকেশনগুলিকে অনেকগুলি কনফিগারেশন এবং সেটআপ করতে হয় (এবং দুর্ভাগ্যক্রমে জিনিসগুলি ভুল করার অনেক উপায় রয়েছে)।

আমি সচেতন নই, যে কোনও বড় ওয়েব সার্ভার (যেমন অ্যাপাচি বা এনজিনেক্স) উদাহরণস্বরূপ ড্যান প্রয়োগ করেছে বা এটি করার পরিকল্পনা রয়েছে। ওয়েব সার্ভারগুলি এখানে বিশেষ গুরুত্ব দেয়, কারণ আরও বেশি বেশি স্টাফ ওয়েব প্রযুক্তির উপর নির্মিত হয় এবং তাই তারা প্রায়শই প্রথম হয়, যেখানে জিনিসগুলি বাস্তবায়িত হয়।

তুলনা হিসাবে আমরা যখন সিআরএল, ওসিএসপি এবং ওসিএসপি স্ট্যাপলিংয়ের দিকে নজর দিই, তখন আমরা ড্যান গ্রহণের গল্পটি কীভাবে চলবে তা অনুমান করতে সক্ষম হতে পারি। কেবলমাত্র কিছু অ্যাপ্লিকেশন, যা ওপেনএসএসএল, লাইবনেস, জ্ঞানটিএলএস ইত্যাদি ব্যবহার করে এই বৈশিষ্ট্যগুলিকে সমর্থন করে। অ্যাপাচি বা এনগিনেক্সের মতো বড় সফ্টওয়্যারগুলির সমর্থন করতে এটি কিছুটা সময় নিয়েছিল এবং আবার হ্যানো বাকের নিবন্ধটি উল্লেখ করে তারা এটি ভুল পেয়েছে এবং তাদের প্রয়োগ ত্রুটিযুক্ত হয়েছে। অন্যান্য বড় বড় সফ্টওয়্যার প্রকল্প, যেমন পোস্টফিক্স বা ডোভকোট ওসিএসপি সমর্থন করে নাএবং খুব সীমিত সিআরএল কার্যকারিতা রয়েছে যা মূলত ফাইল সিস্টেমের কোনও ফাইলের দিকে নির্দেশ করে (যা অগত্যা নিয়মিত পুনরায় পড়তে হয় না, সুতরাং আপনাকে নিজের সার্ভার নিজেই পুনরায় লোড করতে হবে ইত্যাদি)। মনে রাখবেন যে এগুলি এমন প্রকল্প যা ঘন ঘন টিএলএস ব্যবহার করে। তারপরে আপনি জিনিসগুলিতে সন্ধান শুরু করতে পারেন, যেখানে পোস্টগ্র্রেএসকিউএল / মাইএসকিউএল এর মতো টিএলএস খুব কম দেখা যায় এবং সম্ভবত তারা সেরাত সিআরএল সরবরাহ করে।

সুতরাং আমি এমনকি আধুনিক ওয়েব সার্ভারগুলি এটি বাস্তবায়ন করি নি এবং বেশিরভাগ অন্যান্য সফ্টওয়্যার এমনকি ওসিএসপি এবং সিআরএল বাস্তবায়ন করতে পারেনি, আপনার 5 বছরের এন্টারপ্রাইজ অ্যাপ্লিকেশন বা অ্যাপ্লায়েন্সের সাথে সৌভাগ্য।

সম্ভাব্য অ্যাপ্লিকেশন

তাহলে আপনি কোথায় ড্যান ব্যবহার করতে পারবেন? এখনকার হিসাবে, সাধারণ ইন্টারনেটে নয়। আপনি যদি সার্ভার এবং ক্লায়েন্টকে নিয়ন্ত্রণ করেন তবে এটির একটি বিকল্প হতে পারে তবে এই ক্ষেত্রে আপনি প্রায়শই পাবলিক-কী পিনিং অবলম্বন করতে পারেন।

মেল স্পেসে, DANE কিছুটা ক্র্যাকশন পাচ্ছে, কারণ দীর্ঘকাল ধরে এসএমটিপিতে কোনও প্রকারের অনুমোদনপ্রাপ্ত পরিবহন এনক্রিপশন ছিল না। এসএমটিপি সার্ভারগুলি মাঝে মধ্যে একে অপরের মধ্যে টিএলএস ব্যবহার করে, তবে শংসাপত্রগুলির নামগুলি আসলে মিলছে কিনা তা যাচাই করে নি, তারা এখন এটি ড্যানের মাধ্যমে এটি পরীক্ষা করা শুরু করছে।

সেবাস্তিয়ান শ্র্রেডার
সূত্র
6
আমি মনে করি আপনার শেষ বাক্যটি কেটে গেছে।
বিট্রি
ধন্যবাদ সেবাস্তিয়ান, আপনার প্রতিক্রিয়া খুব সহায়ক is ওপি এর আওতায় দয়া করে আমার এবং অ্যান্ড্রুয়ের মন্তব্যগুলি দেখুন।
জেলমার জেল্লেমা
3
এটি কেন ওয়েব সার্ভারের জন্য এটি প্রয়োগ করা প্রয়োজন? আমি অ্যাপাচি কনফিগারেশনে স্ব স্বাক্ষরিত সার্টিফিকেট যুক্ত করতে এবং নিজেই ডিএনএসে আঙুলের ছাপ রেখে দিতে পারি, তাই না?
জেলমার জেল্লেমা
1
ডিএনএসএসইসি বনাম ডিএনএস-র সাথে পারফরম্যান্স এবং স্কেলিবিলিটি সমস্যাগুলি রয়েছে: সাধারণ ডিএনএস "ক্যানড" প্রতিক্রিয়াগুলি ব্যবহার করতে পারে তবে প্রতিটি অনুরোধের জন্য ডিএনএসএসইসিকে ক্রিপ্টোড্যান্স করতে হয়, এবং প্রচুর ডিএনএস অনুরোধের আশেপাশে উড়ন্ত। পছন্দ করুন, প্রচুর ডিএনএস অনুরোধ।
জোকার_ভিডি
4
@ জোকার_ভিডি ডিএনএসএসইসি ট্রাফিকের পরিবর্তে ডেটাতে স্বাক্ষর করে। উদাহরণস্বরূপ, অনুমোদনের শেষে আপনি নিজের অঞ্চলে স্বাক্ষর করতে পারেন এবং স্বাক্ষরগুলির আজীবন (বা আপনি জোন ডেটা পরিবর্তন না করা পর্যন্ত) আরও "ক্রিপ্টোড্যান্স" রাখতে পারবেন না; এটি বৈধকরণকারী পক্ষের (ক্লায়েন্টের পক্ষের) প্রতি পার-আনচড-অনুরোধ "ক্রিপ্টোড্যান্স" হওয়ার দরকার। অতিরিক্ত ডেটা এবং ডিএনএসএসইসি স্থিতি উভয়ই ডিএনএসের জন্য সাধারণ ক্যাচিং মডেলের সাথে খাপ খায়।
হাকান লিন্ডকভিস্ট
5

বিভিন্ন ধরণের শংসাপত্র বৈধতা পদ্ধতি

নিয়মিত সিএ-স্বাক্ষরিত শংসাপত্রগুলির সাথে, শংসাপত্রের বৈধতার বিভিন্ন স্তরের রয়েছে:

  • ডোমেন বৈধকরণ (ডিভি)
    কেবলমাত্র ডোমেন নামের মালিকানা যাচাই করা হয়, কেবলমাত্র ডোমেনের নাম শংসাপত্রে "বিষয়" হিসাবে প্রদর্শিত হয়
  • সংস্থার বৈধতা (ওভি)
    ডোমেনের নাম এবং মালিকের নাম বৈধ করা হয়েছে, ডোমেনের নাম এবং মালিকের নাম শংসাপত্রের "বিষয়" হিসাবে দেখায়
  • বর্ধিত বৈধকরণ (ইভি)
    মালিক সত্তার আরও কঠোর বৈধতা, ডোমেন নাম এবং মালিকের শংসাপত্রে "সাবজেক্ট" হিসাবে দেখাবে, মালিকের নাম সহ গ্রিন বার

আপনি যে প্রক্রিয়াটি বর্ণনা করেছেন এবং পরিবর্তনের প্রস্তাব দিচ্ছেন তা কেবলমাত্র সর্বনিম্ন স্তরের, ডোমেন যাচাইকরণ (ডিভি) তে প্রযোজ্য।

ডিভি হ'ল লেভেল যেখানে স্বয়ংক্রিয়করণের জন্য বৈধতা অপেক্ষাকৃত সহজবোধ্য, যেমন লেটসেক্রিপ্ট কী করেছে এবং এটি ডিএনএস যা প্রদান করতে পারে তার অনুরূপ স্তরের বিশ্বাস সরবরাহ করে যদি এটি বিশ্বাস-অ্যাঙ্কারের একমাত্র উত্স হিসাবে ব্যবহৃত হয় (ইউআই প্রভাবগুলি, সার্টিট বিশ্বাসযোগ্য হতে পারে তবে অতিরিক্ত ডেটা থাকে যা কোনওভাবেই বৈধ নয়।

নামধারী সংস্থাগুলির DNS- ভিত্তিক প্রমাণীকরণ (DANE)

ডিএনএসে টিএলএস ক্লায়েন্টদের জন্য আস্থা-অ্যাঙ্কর সম্পর্কিত তথ্য প্রকাশের জন্য DANE DNSSEC এর শীর্ষে (DNS ডেটার সত্যতা অত্যন্ত গুরুত্বপূর্ণ)

এটি TLSAআরআর টাইপ ব্যবহার করে এবং সর্বশেষ সত্তা বা সিএর শংসাপত্র বা পাবলিক কী ( নির্বাচক ), সনাক্তকরণের জন্য বা নিয়মিত শংসাপত্র শৃঙ্খলা সাফল্যের জন্য প্রয়োজনীয় শংসাপত্রের প্রয়োজনীয়তা ( সার্টিটির ব্যবহার ) এবং কীভাবে শংসাপত্রটি সনাক্ত করতে ব্যবহৃত হতে পারে / কী ডেটা রেকর্ডে উপস্থাপিত হয় ( মিলের ধরণ )।

TLSAরেকর্ড মালিকের নাম একটি উপসর্গ যা বন্দর ও প্রোটোকল (যেমন ইঙ্গিত করেছেন _443._tcp) এবং RData ইঙ্গিত cert usage, selectorএবং matching type/ কী ডেটা মেলানো যা নিশ্চিতভাবে ঘটবে ছাড়াও মোড। এই পরামিতিগুলির সুনির্দিষ্টতার জন্য আরএফসি 6698 এর বিভাগ 2.1 দেখুন ।

একটি TLSAরেকর্ড উদাহরণস্বরূপ দেখতে পারে:

_443._tcp.www.example.com. IN TLSA  2 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971

ব্যবহারের পদ্ধতিগুলি 2বা 3(একা টিএলএসএ ট্রাস্ট-অ্যাঙ্কর ব্যবহারের ইঙ্গিত দেয়) সাথে, একজন ড্যান সচেতন ক্লায়েন্ট এমন একটি শংসাপত্র গ্রহণ করবেন যা একটি সাধারণ বিশ্বস্ত সিএ দ্বারা স্বাক্ষরিত নয় তবে যা TLSAরেকর্ডের সাথে মেলে ।
এটি ধারণাগতভাবে আপনি নিজের প্রশ্নে যেমন প্রস্তাব করেন ঠিক তেমনই।

ক্যাচ? ড্যান সচেতন ক্লায়েন্টরা বর্তমানে কম-বেশি অস্তিত্বহীন, একটি সমস্যা হ'ল ডিএনএসইসি নিজেই বহুল পরিমাণে মোতায়েন করা হয়নি (বিশেষত ক্লায়েন্ট মেশিনে বৈধতা) ড্যানের জন্য সম্ভবত কী প্রয়োজন তা প্রয়োজন। মুরগি ও ডিমের সমস্যা সম্ভবত খানিকটা বিবেচনা করে যে DANE হ'ল প্রমাণিত ডিএনএস ডেটার উপর নির্ভরশীল এমন প্রথম সম্ভাব্য একটি নতুন নতুন ব্যবহার-কেস।

এখানে একটি ব্রাউজার প্লাগইন রয়েছে যা ডিএনএসএসইসি এবং ড্যান বৈধকরণ যুক্ত করে , অন্যদিকে মূলধারার কাছাকাছি কোথাও খুব বেশি কিছু নেই। এবং, স্থানীয়ভাবে সমর্থিত না হয়ে প্লাগইন হওয়ার কারণে, এটি সাধারণ ব্যবহারের ক্ষেত্রে, অন্য যে কোনও কিছুর চেয়ে প্রুফ অফ অফ কনসেপ্ট হিসাবে কাজ করে।


এটা করা যেতে পারে। এটা বিবেচনা করা হয়েছে। এটি এখনও ঘটতে পারে, তবে খুব বেশি আন্দোলন হয়নি।

হাকান লিন্ডকভিস্ট
সূত্র
ধন্যবাদ হাকান অ্যান্ড্রু যেমন আমার ওপির অধীনে ইঙ্গিত করেছে, ডিএনএস এবং ডিএনএসএসইসি তে সমস্যা আছে, কারণ ডিএনএসএসইসি বাধ্য করা হয় না (চাবিগুলি টিএলডি ডিএনএসে থাকা অবস্থায়ও নয়, আমি অনুমান করি) পথে ডিএনএস সার্ভারগুলি ডিএনএ তথ্য ফাঁকি দিতে পারে ঠিক আছে? সুতরাং DANE রেকর্ডগুলি বৈধ হওয়ার জন্য DNSSEC- কে বাধ্য করা উচিত, যার ফলস্বরূপ প্রতিটি চেক টিএলডি সার্ভারে কীগুলিও পরীক্ষা করতে হবে।
জেলমার জেলিমা 20 '21 এ
5
@ জেলমার জেল্লেমা আমার উত্তরে যেমন উল্লেখ করেছি, ডিএনএসএসইএকে ক্লায়েন্টের কাছে বৈধতা দেওয়া দরকার (সমস্যাটি অ্যান্ড্রু দেখিয়েছেন না এটি) এবং কেবলমাত্র সাফল্যের সাথে স্বাক্ষরিত টিএলএসএ রেকর্ড ব্যবহার করা যেতে পারে। আপনি যে সমস্যার কথা বলছেন সেটি ডিজাইনের দিক থেকে কোনও সমস্যা নয়, মূলধারার সফ্টওয়্যারটির সমর্থনের ক্ষেত্রে এটি একটি সমস্যা।
হাকান লিন্ডকভিস্ট
2
নিখুঁত না হলেও, আইএসপি বা ওপেনগুলিতে আরও বেশি সংখ্যক পুনরাবৃত্ত নেমসার্ভারগুলি, যেমন ৮.৮.৮.৮ বা 9.৯.৯.৯ ডিএনএসএসইসি যাচাইকরণ করছে। আনবাউন্ড এবং / অথবা স্টুবির মতো জিনিসে নির্মিত ডিএনএসসি-ট্রিগারটি ক্লায়েন্টে অকারণে একটি সম্পূর্ণ বৈধতা ডিএনএস রেজলভার ছাড়াই ক্লায়েন্টগুলিতে সম্পূর্ণ ডিএনএসএসইসি বৈধকরণের অনুমতি দেবে। তবে আমরা অবশ্যই তা থেকে অনেক দূরে ...
প্যাট্রিক মেভিজাক
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.