Группа инженеров предложила заменить корневые DNS-серверы peer-to-peer сетью на базе блокчейна. Рассказываем, что об этой инициативе думает ИТ-сообщество.
Фото — Marcus Bengtsson — Unsplash
Чем поможет блокчейн в системе DNS
Задача сертификационных центров (CA) — подтвердить что соединение с сервером защищено и SSL-сертификат, выданный тому или иному сайту, легитимен. Каждый сертификационный центр имеет право делегировать ответственность за проверку сертификатов другим организациям, но пользователи браузеров не могут проверить, насколько надежен тот или иной CA и следует ли он регламентам безопасности консорциума CA/Browser Forum.
Если сертификат скомпрометирован, это открывает возможности для MITM-атак. Подобное уже случалось — в 2011 году иранские хакеры подменили более 500 SSL-сертификатов, выданных центром сертификации DigiNotar. Среди них находились сертификаты Mozilla, Google и других компаний. В течение месяца злоумышленники прослушивали трафик 300 тыс. пользователей.
Некоторые ИТ-эксперты также беспокоятся, что криптографическими ключами корневой зоны DNS управляет одна корпорация — ICANN. Она выступает монополистом и диктует свои условия — какие доменные имена верхнего уровня (TLD) будут зарегистрированы и сколько это будет стоить. Так, подача заявки на новый TLD обойдется в 185 тыс. долларов.
В попытке решить проблему доверия к центрам сертификации и децентрализовать корневую зону, инженеры из Namebase стали работать над альтернативным подходом к организации системы DNS. Они предложили заменить корневые серверы блокчейн-сетью Handshake.
Как это работает
Блокчейн выступает в роли хранилища файла с информацией о доменах. Для их защиты в распределенной сети применяют алгоритм proof-of-work, как в биткоине. Чтобы зарегистрировать домен, пользователи отправляют в блокчейн соответствующий запрос — вот так он будет выглядеть для example.com:
$ hsw-rpc createclaim example
{
"name": "example",
"target": "example.com.",
"value": 1133761643,
"size": 3583,
"fee": 17900,
"address": "ts1qd6u7vhu084494kf9cejkp4qel69vsk82takamu",
"txt": "hns-testnet:aakbvmygsp7rrhmsauhwlnwx6srd5m2v4m3p3eidadl5yn2f"
}
Помимо прочего в запросе указано название сайта, доменное имя и сумма, которую пользователь готов заплатить майнерам за регистрацию записи в блокчейне. Оплата происходит с помощью утилитарных токенов HNS. По завершению майнинга — занимает от 5 до 20 минут — система наделяет владельца правами на домен. Также веб-мастер получает ключ, с помощью которого он сможет сам ставить криптографические подписи. Такой подход позволит отказаться от классических сертификационных центров.
Токены HNS применяют и при продаже домена. Сделка проходит в формате открытого аукциона — имя передают пользователю, сделавшему наибольшую ставку. Чтобы избежать киберсквоттинга, разработчики Handshake уже закрепили в блокчейн-сети доменные имена первых 100 тыс. сайтов, входящих в рейтинг Alexa. Их реальные владельцы в любой момент могут мигрировать в блокчейн-сеть и даже получить за это вознаграждение.
Мнения
По словам авторов Handshake, возможности их платформы положительно оценил один из разработчиков стека протоколов TCP/IP Винтон Серф. Год назад он сам предлагал внедрить решение, которое повысит доверие к центрам сертификации. Да и в целом идею распределенной корневой системы DNS в ИТ-сообществе поддержали. Хотя бы потому что она открывает несколько интересных возможностей.
Handshake позволяет связать IP-адреса с новыми TLD и использовать домен верхнего уровня как полноценное имя. Например, совершать переход на «namebase.io», вписав в адресную строку «namebase». Хотя некоторые резиденты Hacker News говорят, что функция едва ли будет популярна. Адрес сайта без точки выглядит необычно и запутает пользователей.
Фото — Kaley Dykstra — Unsplash
Также на HN отметили, что в прошлом проекты, подобные Handshake, уже запускались — были Namecoin и ENS. И они не получили широкого распространения. Четыре года назад из 120 тыс. зарегистрированных доменных имен в базе Namecoin проявляли активность всего 28. Есть мнение, что Handshake ожидает та же участь.
Хотя специалисты из Namebase говорят, что их платформа, в отличие от аналогов, не конкурирует с традиционной системой доменных имён и совместима с ней. Если пользователь попробует ввести адрес одного из 100 тыс. самых популярных сайтов, владельцы которых не зарегистрировались в блокчейн-сети, программное обеспечение перенаправит запрос классическим DNS-серверам.
Разработчики намерены сохранять прозрачность и полную совместимость своей децентрализованной системы с протоколами ICANN. И будущее Handshake зависит от того, захотят ли крупные компании перейти на альтернативное DNS-решение.
Дополнительное чтение:
Как узнать, из чего состоит SSL-сертификат
Какие бывают SSL-сертификаты и зачем нужны
Область покрытия и цепочки SSL-сертификатов
Получение OV и EV сертификата — что нужно знать
Как защитить виртуальный сервер в интернете
Небольшой FAQ по работе с SSL в облаке 1cloud.ru. Рассказываем, как добавить, продлить и протестировать сертификаты на разных системах.
Автор: 1cloud