Кто предложил децентрализовать корневую зону DNS

Группа инженеров предложила заменить корневые DNS-серверы peer-to-peer сетью на базе блокчейна. Рассказываем, что об этой инициативе думает ИТ-сообщество.

v20a9chhjkej5aqmang-__sylhk.jpeg
Фото — Marcus Bengtsson — Unsplash

Чем поможет блокчейн в системе DNS


Задача сертификационных центров (CA) — подтвердить что соединение с сервером защищено и SSL-сертификат, выданный тому или иному сайту, легитимен. Каждый сертификационный центр имеет право делегировать ответственность за проверку сертификатов другим организациям, но пользователи браузеров не могут проверить, насколько надежен тот или иной CA и следует ли он регламентам безопасности консорциума CA/Browser Forum.

Если сертификат скомпрометирован, это открывает возможности для MITM-атак. Подобное уже случалось — в 2011 году иранские хакеры подменили более 500 SSL-сертификатов, выданных центром сертификации DigiNotar. Среди них находились сертификаты Mozilla, Google и других компаний. В течение месяца злоумышленники прослушивали трафик 300 тыс. пользователей.

Некоторые ИТ-эксперты также беспокоятся, что криптографическими ключами корневой зоны DNS управляет одна корпорация — ICANN. Она выступает монополистом и диктует свои условия — какие доменные имена верхнего уровня (TLD) будут зарегистрированы и сколько это будет стоить. Так, подача заявки на новый TLD обойдется в 185 тыс. долларов.

В попытке решить проблему доверия к центрам сертификации и децентрализовать корневую зону, инженеры из Namebase стали работать над альтернативным подходом к организации системы DNS. Они предложили заменить корневые серверы блокчейн-сетью Handshake.

Как это работает


Блокчейн выступает в роли хранилища файла с информацией о доменах. Для их защиты в распределенной сети применяют алгоритм proof-of-work, как в биткоине. Чтобы зарегистрировать домен, пользователи отправляют в блокчейн соответствующий запрос — вот так он будет выглядеть для example.com:

$ hsw-rpc createclaim example
{
  "name": "example",
  "target": "example.com.",
  "value": 1133761643,
  "size": 3583,
  "fee": 17900,
  "address": "ts1qd6u7vhu084494kf9cejkp4qel69vsk82takamu",
  "txt": "hns-testnet:aakbvmygsp7rrhmsauhwlnwx6srd5m2v4m3p3eidadl5yn2f"
}


Помимо прочего в запросе указано название сайта, доменное имя и сумма, которую пользователь готов заплатить майнерам за регистрацию записи в блокчейне. Оплата происходит с помощью утилитарных токенов HNS. По завершению майнинга — занимает от 5 до 20 минут — система наделяет владельца правами на домен. Также веб-мастер получает ключ, с помощью которого он сможет сам ставить криптографические подписи. Такой подход позволит отказаться от классических сертификационных центров.

Токены HNS применяют и при продаже домена. Сделка проходит в формате открытого аукциона — имя передают пользователю, сделавшему наибольшую ставку. Чтобы избежать киберсквоттинга, разработчики Handshake уже закрепили в блокчейн-сети доменные имена первых 100 тыс. сайтов, входящих в рейтинг Alexa. Их реальные владельцы в любой момент могут мигрировать в блокчейн-сеть и даже получить за это вознаграждение.

Мнения


По словам авторов Handshake, возможности их платформы положительно оценил один из разработчиков стека протоколов TCP/IP Винтон Серф. Год назад он сам предлагал внедрить решение, которое повысит доверие к центрам сертификации. Да и в целом идею распределенной корневой системы DNS в ИТ-сообществе поддержали. Хотя бы потому что она открывает несколько интересных возможностей.

Handshake позволяет связать IP-адреса с новыми TLD и использовать домен верхнего уровня как полноценное имя. Например, совершать переход на «namebase.io», вписав в адресную строку «namebase». Хотя некоторые резиденты Hacker News говорят, что функция едва ли будет популярна. Адрес сайта без точки выглядит необычно и запутает пользователей.

6zhysliogdyxnomcnkdw1ciehys.jpeg
Фото — Kaley Dykstra — Unsplash

Также на HN отметили, что в прошлом проекты, подобные Handshake, уже запускались — были Namecoin и ENS. И они не получили широкого распространения. Четыре года назад из 120 тыс. зарегистрированных доменных имен в базе Namecoin проявляли активность всего 28. Есть мнение, что Handshake ожидает та же участь.

Хотя специалисты из Namebase говорят, что их платформа, в отличие от аналогов, не конкурирует с традиционной системой доменных имён и совместима с ней. Если пользователь попробует ввести адрес одного из 100 тыс. самых популярных сайтов, владельцы которых не зарегистрировались в блокчейн-сети, программное обеспечение перенаправит запрос классическим DNS-серверам.

Разработчики намерены сохранять прозрачность и полную совместимость своей децентрализованной системы с протоколами ICANN. И будущее Handshake зависит от того, захотят ли крупные компании перейти на альтернативное DNS-решение.

Дополнительное чтение:

nh3bvginmatsrsxcu6loffpn5yc.pngКак узнать, из чего состоит SSL-сертификат
nh3bvginmatsrsxcu6loffpn5yc.pngКакие бывают SSL-сертификаты и зачем нужны
nh3bvginmatsrsxcu6loffpn5yc.pngОбласть покрытия и цепочки SSL-сертификатов
nh3bvginmatsrsxcu6loffpn5yc.pngПолучение OV и EV сертификата — что нужно знать
nh3bvginmatsrsxcu6loffpn5yc.pngКак защитить виртуальный сервер в интернете


xvtslzq4ibhacgrrpgx0dgt97om.pngНебольшой FAQ по работе с SSL в облаке 1cloud.ru. Рассказываем, как добавить, продлить и протестировать сертификаты на разных системах.

© Habrahabr.ru