- PVSM.RU - https://www.pvsm.ru -

Кто предложил децентрализовать корневую зону DNS

Группа инженеров предложила заменить корневые DNS-серверы peer-to-peer сетью на базе блокчейна. Рассказываем, что об этой инициативе думает ИТ-сообщество.

Кто предложил децентрализовать корневую зону DNS - 1 [1]
Фото — Marcus Bengtsson [2] — Unsplash

Чем поможет блокчейн в системе DNS

Задача сертификационных центров (CA) — подтвердить что соединение с сервером защищено и SSL-сертификат [3], выданный тому или иному сайту, легитимен. Каждый сертификационный центр имеет право делегировать [4] ответственность за проверку сертификатов другим организациям, но пользователи браузеров не могут проверить, насколько надежен тот или иной CA и следует ли он [5] регламентам безопасности консорциума CA/Browser Forum [6].

Если сертификат скомпрометирован, это открывает возможности для MITM-атак. Подобное уже случалось — в 2011 году иранские хакеры подменили [7] более 500 SSL-сертификатов, выданных центром сертификации DigiNotar. Среди них находились сертификаты Mozilla, Google и других компаний. В течение месяца злоумышленники прослушивали трафик 300 тыс. пользователей.

Некоторые ИТ-эксперты также беспокоятся [8], что криптографическими ключами корневой зоны DNS управляет одна корпорация — ICANN. Она выступает монополистом и диктует свои условия — какие доменные имена верхнего уровня (TLD) будут зарегистрированы и сколько это будет стоить. Так, подача заявки на новый TLD обойдется [9] в 185 тыс. долларов.

В попытке решить проблему доверия к центрам сертификации и децентрализовать корневую зону, инженеры из Namebase стали работать над альтернативным подходом к организации системы DNS. Они предложили заменить корневые серверы блокчейн-сетью Handshake.

Как это работает

Блокчейн выступает в роли хранилища файла с информацией о доменах. Для их защиты в распределенной сети применяют алгоритм proof-of-work [10], как в биткоине. Чтобы зарегистрировать домен, пользователи отправляют в блокчейн соответствующий запрос — вот так он будет выглядеть [11] для example.com:

$ hsw-rpc createclaim example
{
  "name": "example",
  "target": "example.com.",
  "value": 1133761643,
  "size": 3583,
  "fee": 17900,
  "address": "ts1qd6u7vhu084494kf9cejkp4qel69vsk82takamu",
  "txt": "hns-testnet:aakbvmygsp7rrhmsauhwlnwx6srd5m2v4m3p3eidadl5yn2f"
}

Помимо прочего в запросе указано название сайта, доменное имя и сумма, которую пользователь готов заплатить майнерам за регистрацию записи в блокчейне. Оплата происходит с помощью утилитарных токенов HNS. По завершению майнинга — занимает от 5 до 20 минут — система наделяет владельца правами на домен. Также веб-мастер получает ключ, с помощью которого он сможет сам ставить криптографические подписи. Такой подход позволит отказаться от классических сертификационных центров.

Токены HNS применяют и при продаже домена. Сделка проходит в формате открытого аукциона — имя передают пользователю, сделавшему наибольшую ставку. Чтобы избежать киберсквоттинга [12], разработчики Handshake уже закрепили в блокчейн-сети доменные имена первых 100 тыс. сайтов, входящих в рейтинг Alexa [13]. Их реальные владельцы в любой момент могут мигрировать в блокчейн-сеть и даже получить за это вознаграждение.

Мнения

По словам авторов Handshake, возможности их платформы положительно оценил [14] один из разработчиков стека протоколов TCP/IP Винтон Серф. Год назад он сам предлагал [14] внедрить решение, которое повысит доверие к центрам сертификации. Да и в целом идею распределенной корневой системы DNS в ИТ-сообществе поддержали. Хотя бы потому что она открывает несколько интересных возможностей.

Handshake позволяет связать IP-адреса с новыми TLD и использовать домен верхнего уровня как полноценное имя. Например, совершать переход на «namebase.io», вписав в адресную строку [15] «namebase». Хотя некоторые резиденты Hacker News говорят [16], что функция едва ли будет популярна. Адрес сайта без точки выглядит необычно и запутает пользователей.

Кто предложил децентрализовать корневую зону DNS - 2
Фото — Kaley Dykstra [17] — Unsplash

Также на HN отметили, что в прошлом проекты, подобные Handshake, уже запускались — были Namecoin и ENS. И они не получили широкого распространения. Четыре года назад из 120 тыс. зарегистрированных доменных имен в базе Namecoin проявляли активность всего 28 [18]. Есть мнение [19], что Handshake ожидает та же участь.

Хотя специалисты из Namebase говорят, что их платформа, в отличие от аналогов, не конкурирует с традиционной системой доменных имён и совместима с ней. Если пользователь попробует ввести адрес одного из 100 тыс. самых популярных сайтов, владельцы которых не зарегистрировались в блокчейн-сети, программное обеспечение перенаправит запрос классическим DNS-серверам.

Разработчики намерены [20] сохранять прозрачность и полную совместимость своей децентрализованной системы с протоколами ICANN. И будущее Handshake зависит от того, захотят ли крупные компании перейти на альтернативное DNS-решение.

Дополнительное чтение:

Кто предложил децентрализовать корневую зону DNS - 3 Как узнать, из чего состоит SSL-сертификат [21]
Кто предложил децентрализовать корневую зону DNS - 4 Какие бывают SSL-сертификаты и зачем нужны [22]
Кто предложил децентрализовать корневую зону DNS - 5 Область покрытия [23] и цепочки SSL-сертификатов [24]
Кто предложил децентрализовать корневую зону DNS - 6 Получение OV и EV сертификата — что нужно знать [25]
Кто предложил децентрализовать корневую зону DNS - 7 Как защитить виртуальный сервер в интернете [26]

Кто предложил децентрализовать корневую зону DNS - 8Небольшой FAQ [27] по работе с SSL в облаке 1cloud.ru. Рассказываем, как добавить, продлить и протестировать сертификаты на разных системах.

Автор: 1cloud

Источник [28]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/dns-2/333805

Ссылки в тексте:

[1] Image: https://habr.com/ru/company/1cloud/blog/472170/

[2] Marcus Bengtsson: https://unsplash.com/photos/p7du8w466-c

[3] SSL-сертификат: https://1cloud.ru/services/ssl?utm_source=habrahabr&utm_medium=cpm&utm_campaign=handshake&utm_content=site

[4] имеет право делегировать: https://www.namebase.io/blog/meet-handshake-decentralizing-dns-to-improve-the-security-of-the-internet/

[5] следует ли он: https://habr.com/ru/company/1cloud/blog/349382/

[6] CA/Browser Forum: https://en.wikipedia.org/wiki/CA/Browser_Forum

[7] подменили: https://slate.com/technology/2016/12/how-the-2011-hack-of-diginotar-changed-the-internets-infrastructure.html

[8] также беспокоятся: https://www.technologyreview.com/s/613446/the-ambitious-plan-to-make-the-internets-phone-book-more-trustworthy/

[9] обойдется: https://newgtlds.icann.org/en/about/benefits-risks

[10] proof-of-work: https://ru.wikipedia.org/wiki/%D0%94%D0%BE%D0%BA%D0%B0%D0%B7%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%D1%81%D1%82%D0%B2%D0%BE_%D0%B2%D1%8B%D0%BF%D0%BE%D0%BB%D0%BD%D0%B5%D0%BD%D0%B8%D1%8F_%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%8B

[11] будет выглядеть: https://github.com/handshake-org/hsd

[12] киберсквоттинга: https://ru.wikipedia.org/wiki/%D0%9A%D0%B8%D0%B1%D0%B5%D1%80%D1%81%D0%BA%D0%B2%D0%BE%D1%82%D1%82%D0%B8%D0%BD%D0%B3

[13] рейтинг Alexa: https://ru.wikipedia.org/wiki/Alexa_Internet

[14] положительно оценил: https://cacm.acm.org/magazines/2018/12/232883-self-authenticating-identifiers/fulltext

[15] вписав в адресную строку: https://videos.ctfassets.net/v3ez3dek3dk6/53uEzDIzJZvnwq1CUS5fpO/69e581806763993e65fa801ca414c922/handshakeDemoShort.MP4

[16] говорят: https://news.ycombinator.com/item?id=21002839

[17] Kaley Dykstra: https://unsplash.com/photos/gtVrejEGdmM

[18] всего 28: https://www.econinfosec.org/archive/weis2015/papers/WEIS_2015_kalodner.pdf

[19] мнение: https://news.ycombinator.com/item?id=21001705

[20] намерены: https://hackernoon.com/everything-you-didnt-know-about-the-handshake-naming-system-how-this-blockchain-project-will-483464309f33

[21] Как узнать, из чего состоит SSL-сертификат: https://1cloud.ru/blog/chto-takoe-ssl?utm_source=habrahabr&utm_medium=cpm&utm_campaign=handshake&utm_content=blog

[22] Какие бывают SSL-сертификаты и зачем нужны: https://1cloud.ru/blog/vidy-sertifikatov-ssl?utm_source=habrahabr&utm_medium=cpm&utm_campaign=handshake&utm_content=blog

[23] Область покрытия: https://1cloud.ru/blog/oblast-pokrytiya-ssl?utm_source=habrahabr&utm_medium=cpm&utm_campaign=handshake&utm_content=blog

[24] цепочки SSL-сертификатов: https://1cloud.ru/blog/cepochka-ssl-sertifikatov?utm_source=habrahabr&utm_medium=cpm&utm_campaign=handshake&utm_content=blog

[25] Получение OV и EV сертификата — что нужно знать: https://1cloud.ru/blog/poluchenie-ssl-sertifikatov-ov-ev?utm_source=habrahabr&utm_medium=cpm&utm_campaign=handshake&utm_content=blog

[26] Как защитить виртуальный сервер в интернете: https://1cloud.ru/blog/kak-zaschitit-server-v-internete?utm_source=habrahabr&utm_medium=cpm&utm_campaign=handshake&utm_content=blog

[27] Небольшой FAQ: https://1cloud.ru/help/ssl?utm_source=habrahabr&utm_medium=cpm&utm_campaign=handshake&utm_content=site

[28] Источник: https://habr.com/ru/post/472170/?utm_source=habrahabr&utm_medium=rss&utm_campaign=472170