Ons praat oor wat DANE-tegnologie is vir die verifikasie van domeinname met behulp van DNS en hoekom dit nie wyd in blaaiers gebruik word nie.
/Unsplash/
Wat is DANE
Sertifiseringsowerhede (CA's) is organisasies wat kriptografiese sertifikaat . Hulle het hul elektroniese handtekening op hulle geplaas, wat hul egtheid bevestig. Soms ontstaan egter situasies wanneer sertifikate met oortredings uitgereik word. Byvoorbeeld, verlede jaar het Google 'n "onttrouingsprosedure" vir Symantec-sertifikate begin as gevolg van hul kompromie (ons het hierdie storie in detail in ons blog behandel - и ).
Om sulke situasies te vermy, 'n paar jaar gelede die IETF DANE-tegnologie (maar dit word nie algemeen in blaaiers gebruik nie - ons sal later praat oor hoekom dit gebeur het).
DANE (DNS-gebaseerde Authentication of Named Entities) is 'n stel spesifikasies wat jou toelaat om DNSSEC (Name System Security Extensions) te gebruik om die geldigheid van SSL-sertifikate te beheer. DNSSEC is 'n uitbreiding van die domeinnaamstelsel wat adres-spoofing-aanvalle tot die minimum beperk. Deur hierdie twee tegnologieë te gebruik, kan 'n webmeester of kliënt een van die DNS-sone-operateurs kontak en die geldigheid van die sertifikaat wat gebruik word, bevestig.
In wese tree DANE op as 'n selfondertekende sertifikaat (die waarborg van sy betroubaarheid is DNSSEC) en komplementeer die funksies van 'n GR.
Hoe werk dit
Die DANE-spesifikasie word beskryf in . Luidens die dokument, in 'n nuwe tipe is bygevoeg - TLSA. Dit bevat inligting oor die sertifikaat wat oorgedra word, die grootte en tipe data wat oorgedra word, sowel as die data self. Die webmeester skep 'n digitale duimafdruk van die sertifikaat, teken dit met DNSSEC en plaas dit in die TLSA.
Die kliënt koppel aan 'n webwerf op die internet en vergelyk sy sertifikaat met die "kopie" wat van die DNS-operateur ontvang is. As hulle ooreenstem, word die hulpbron as vertroud beskou.
Die DANE wiki-bladsy verskaf die volgende voorbeeld van 'n DNS-versoek aan example.org op TCP-poort 443:
IN TLSA _443._tcp.example.orgDie antwoord lyk so:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE het verskeie uitbreidings wat met ander DNS-rekords as TLSA werk. Die eerste is die SSHFP DNS-rekord vir die validering van sleutels op SSH-verbindings. Dit word beskryf in , и . Die tweede is die OPENPGPKEY-inskrywing vir sleuteluitruiling deur PGP (). Ten slotte, die derde is die SMIMEA-rekord (die standaard is nie geformaliseer in die RFC nie, daar is ) vir kriptografiese sleuteluitruiling via S/MIME.
Wat is die probleem met DANE
Middel Mei is die DNS-OARC-konferensie gehou (dit is 'n nie-winsgewende organisasie wat te doen het met sekuriteit, stabiliteit en ontwikkeling van die domeinnaamstelsel). Kenners op een van die panele dat DANE-tegnologie in blaaiers misluk het (ten minste in die huidige implementering daarvan). Aanwesig by die konferensie Geoff Huston, Leading Research Scientist , een van vyf plaaslike internetregistrateurs, oor DANE as 'n "dooie tegnologie".
Gewilde blaaiers ondersteun nie sertifikaatverifikasie met DANE nie. Op die mark , wat die funksionaliteit van TLSA-rekords openbaar, maar ook hul ondersteuning .
Probleme met DANE-verspreiding in blaaiers word geassosieer met die lengte van die DNSSEC-valideringsproses. Die stelsel word gedwing om kriptografiese berekeninge te maak om die egtheid van die SSL-sertifikaat te bevestig en deur die hele ketting van DNS-bedieners (van die wortelsone tot die gasheerdomein) te gaan wanneer dit eers aan 'n hulpbron gekoppel word.
/Unsplash/
Mozilla het probeer om hierdie nadeel uit te skakel deur die meganisme te gebruik vir TLS. Dit was veronderstel om die aantal DNS-rekords te verminder wat die kliënt tydens stawing moes opsoek. Daar het egter onenigheid binne die ontwikkelingsgroep ontstaan wat nie opgelos kon word nie. Gevolglik is die projek laat vaar, hoewel dit in Maart 2018 deur die IETF goedgekeur is.
Nog 'n rede vir die lae gewildheid van DANE is die lae voorkoms van DNSSEC in die wêreld - . Kenners het gevoel dat dit nie genoeg was om DANE aktief te bevorder nie.
Heel waarskynlik sal die bedryf in 'n ander rigting ontwikkel. In plaas daarvan om DNS te gebruik om SSL/TLS-sertifikate te verifieer, sal markspelers eerder DNS-oor-TLS (DoT) en DNS-oor-HTTPS (DoH) protokolle bevorder. Ons het laasgenoemde in een van ons genoem op Habré. Hulle enkripteer en verifieer gebruikersversoeke na die DNS-bediener, wat verhoed dat aanvallers data bedrieg. Aan die begin van die jaar was DoT reeds na Google vir sy publieke DNS. Wat DANE betref, of die tegnologie in staat sal wees om "terug in die saal te kom" en steeds wydverspreid sal word, moet in die toekoms gesien word.
Wat het ons nog vir verdere lees:
Bron: will.com