Кто предложил децентрализовать корневую зону DNS

в 17:11, , рубрики: 1cloud, DNS, IT-стандарты, SSL, Блог компании 1cloud.ru, Разработка веб-сайтов

Группа инженеров предложила заменить корневые DNS-серверы peer-to-peer сетью на базе блокчейна. Рассказываем, что об этой инициативе думает ИТ-сообщество.

Кто предложил децентрализовать корневую зону DNS - 1
Фото — Marcus Bengtsson — Unsplash

Чем поможет блокчейн в системе DNS

Задача сертификационных центров (CA) — подтвердить что соединение с сервером защищено и SSL-сертификат, выданный тому или иному сайту, легитимен. Каждый сертификационный центр имеет право делегировать ответственность за проверку сертификатов другим организациям, но пользователи браузеров не могут проверить, насколько надежен тот или иной CA и следует ли он регламентам безопасности консорциума CA/Browser Forum.

Если сертификат скомпрометирован, это открывает возможности для MITM-атак. Подобное уже случалось — в 2011 году иранские хакеры подменили более 500 SSL-сертификатов, выданных центром сертификации DigiNotar. Среди них находились сертификаты Mozilla, Google и других компаний. В течение месяца злоумышленники прослушивали трафик 300 тыс. пользователей.

Некоторые ИТ-эксперты также беспокоятся, что криптографическими ключами корневой зоны DNS управляет одна корпорация — ICANN. Она выступает монополистом и диктует свои условия — какие доменные имена верхнего уровня (TLD) будут зарегистрированы и сколько это будет стоить. Так, подача заявки на новый TLD обойдется в 185 тыс. долларов.

В попытке решить проблему доверия к центрам сертификации и децентрализовать корневую зону, инженеры из Namebase стали работать над альтернативным подходом к организации системы DNS. Они предложили заменить корневые серверы блокчейн-сетью Handshake.

Как это работает

Блокчейн выступает в роли хранилища файла с информацией о доменах. Для их защиты в распределенной сети применяют алгоритм proof-of-work, как в биткоине. Чтобы зарегистрировать домен, пользователи отправляют в блокчейн соответствующий запрос — вот так он будет выглядеть для example.com:

$ hsw-rpc createclaim example
{
  "name": "example",
  "target": "example.com.",
  "value": 1133761643,
  "size": 3583,
  "fee": 17900,
  "address": "ts1qd6u7vhu084494kf9cejkp4qel69vsk82takamu",
  "txt": "hns-testnet:aakbvmygsp7rrhmsauhwlnwx6srd5m2v4m3p3eidadl5yn2f"
}

Помимо прочего в запросе указано название сайта, доменное имя и сумма, которую пользователь готов заплатить майнерам за регистрацию записи в блокчейне. Оплата происходит с помощью утилитарных токенов HNS. По завершению майнинга — занимает от 5 до 20 минут — система наделяет владельца правами на домен. Также веб-мастер получает ключ, с помощью которого он сможет сам ставить криптографические подписи. Такой подход позволит отказаться от классических сертификационных центров.

Токены HNS применяют и при продаже домена. Сделка проходит в формате открытого аукциона — имя передают пользователю, сделавшему наибольшую ставку. Чтобы избежать киберсквоттинга, разработчики Handshake уже закрепили в блокчейн-сети доменные имена первых 100 тыс. сайтов, входящих в рейтинг Alexa. Их реальные владельцы в любой момент могут мигрировать в блокчейн-сеть и даже получить за это вознаграждение.

Мнения

По словам авторов Handshake, возможности их платформы положительно оценил один из разработчиков стека протоколов TCP/IP Винтон Серф. Год назад он сам предлагал внедрить решение, которое повысит доверие к центрам сертификации. Да и в целом идею распределенной корневой системы DNS в ИТ-сообществе поддержали. Хотя бы потому что она открывает несколько интересных возможностей.

Handshake позволяет связать IP-адреса с новыми TLD и использовать домен верхнего уровня как полноценное имя. Например, совершать переход на «namebase.io», вписав в адресную строку «namebase». Хотя некоторые резиденты Hacker News говорят, что функция едва ли будет популярна. Адрес сайта без точки выглядит необычно и запутает пользователей.

Кто предложил децентрализовать корневую зону DNS - 2
Фото — Kaley Dykstra — Unsplash

Также на HN отметили, что в прошлом проекты, подобные Handshake, уже запускались — были Namecoin и ENS. И они не получили широкого распространения. Четыре года назад из 120 тыс. зарегистрированных доменных имен в базе Namecoin проявляли активность всего 28. Есть мнение, что Handshake ожидает та же участь.

Хотя специалисты из Namebase говорят, что их платформа, в отличие от аналогов, не конкурирует с традиционной системой доменных имён и совместима с ней. Если пользователь попробует ввести адрес одного из 100 тыс. самых популярных сайтов, владельцы которых не зарегистрировались в блокчейн-сети, программное обеспечение перенаправит запрос классическим DNS-серверам.

Разработчики намерены сохранять прозрачность и полную совместимость своей децентрализованной системы с протоколами ICANN. И будущее Handshake зависит от того, захотят ли крупные компании перейти на альтернативное DNS-решение.

Дополнительное чтение:

Кто предложил децентрализовать корневую зону DNS - 3 Как узнать, из чего состоит SSL-сертификат
Кто предложил децентрализовать корневую зону DNS - 4 Какие бывают SSL-сертификаты и зачем нужны
Кто предложил децентрализовать корневую зону DNS - 5 Область покрытия и цепочки SSL-сертификатов
Кто предложил децентрализовать корневую зону DNS - 6 Получение OV и EV сертификата — что нужно знать
Кто предложил децентрализовать корневую зону DNS - 7 Как защитить виртуальный сервер в интернете


Кто предложил децентрализовать корневую зону DNS - 8Небольшой FAQ по работе с SSL в облаке 1cloud.ru. Рассказываем, как добавить, продлить и протестировать сертификаты на разных системах.


Автор: 1cloud

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js