نتحدث عن تقنية DANE لمصادقة أسماء النطاقات باستخدام DNS ولماذا لا يتم استخدامها على نطاق واسع في المتصفحات.
/unsplash/
ما هو دان
المراجع المصدقة (CAs) هي المنظمات التي شهادة التشفير . ووضعوا عليها توقيعهم الإلكتروني مما يؤكد صحتها. ومع ذلك، في بعض الأحيان تنشأ المواقف عندما يتم إصدار الشهادات مع الانتهاكات. على سبيل المثال، بدأت Google في العام الماضي "إجراء إزالة الثقة" لشهادات Symantec بسبب اختراقها (تناولنا هذه القصة بالتفصيل في مدونتنا - и ).
ولتجنب مثل هذه المواقف، تم إنشاء IETF منذ عدة سنوات تقنية DANE (لكنها لا تستخدم على نطاق واسع في المتصفحات - سنتحدث عن سبب حدوث ذلك لاحقًا).
DANE (مصادقة الكيانات المسماة المستندة إلى DNS) هي مجموعة من المواصفات التي تسمح لك باستخدام DNSSEC (امتدادات أمان نظام الأسماء) للتحكم في صلاحية شهادات SSL. يعد DNSSEC امتدادًا لنظام اسم النطاق الذي يقلل من هجمات انتحال العنوان. باستخدام هاتين التقنيتين، يمكن لمشرف الموقع أو العميل الاتصال بأحد مشغلي منطقة DNS والتأكد من صحة الشهادة المستخدمة.
بشكل أساسي، تعمل DANE كشهادة موقعة ذاتيًا (الضامن لموثوقيتها هو DNSSEC) وتكمل وظائف CA.
كيف يعمل هذا؟
تم وصف مواصفات DANE في . ووفقا للوثيقة، في تمت إضافة نوع جديد - TLSA. ويحتوي على معلومات حول الشهادة التي يتم نقلها، وحجم ونوع البيانات التي يتم نقلها، بالإضافة إلى البيانات نفسها. يقوم مشرف الموقع بإنشاء بصمة رقمية للشهادة، ويوقعها باستخدام DNSSEC، ويضعها في TLSA.
يتصل العميل بموقع على الإنترنت ويقارن شهادته بـ "النسخة" المستلمة من مشغل DNS. إذا كانت متطابقة، فسيتم اعتبار المورد موثوقًا به.
توفر صفحة DANE wiki المثال التالي لطلب DNS إلى example.org على منفذ TCP رقم 443:
IN TLSA _443._tcp.example.orgالجواب يبدو مثل هذا:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
لدى DANE العديد من الملحقات التي تعمل مع سجلات DNS بخلاف TLSA. الأول هو سجل DNS SSHFP للتحقق من صحة المفاتيح على اتصالات SSH. تم وصفه في , и . والثاني هو إدخال OPENPGPKEY لتبادل المفاتيح باستخدام PGP (). أخيرًا، الثالث هو سجل SMIMEA (لم يتم إضفاء الطابع الرسمي على المعيار في RFC، فهو موجود ) لتبادل مفاتيح التشفير عبر S/MIME.
ما هي المشكلة مع الدانماركي
في منتصف شهر مايو، تم عقد مؤتمر DNS-OARC (وهي منظمة غير ربحية تتعامل مع الأمن والاستقرار وتطوير نظام اسم النطاق). الخبراء في إحدى اللوحات أن تقنية DANE في المتصفحات قد فشلت (على الأقل في تطبيقها الحالي). حاضر في المؤتمر جيف هيوستن، عالم الأبحاث الرائد ، أحد مسجلي الإنترنت الإقليميين الخمسة، حول DANE باعتبارها "تقنية ميتة".
لا تدعم المتصفحات الشائعة مصادقة الشهادة باستخدام DANE. فى السوق ، والتي تكشف عن وظائف سجلات TLSA، ولكن أيضًا دعمها .
ترتبط مشكلات توزيع DANE في المتصفحات بطول عملية التحقق من DNSSEC. يضطر النظام إلى إجراء حسابات تشفير لتأكيد صحة شهادة SSL والانتقال عبر سلسلة خوادم DNS بأكملها (من منطقة الجذر إلى المجال المضيف) عند الاتصال بمورد لأول مرة.
/unsplash/
حاولت موزيلا إزالة هذا العيب باستخدام هذه الآلية لTLS. كان من المفترض تقليل عدد سجلات DNS التي كان على العميل البحث عنها أثناء المصادقة. ومع ذلك، نشأت خلافات داخل مجموعة التطوير ولم يمكن حلها. ونتيجة لذلك، تم التخلي عن المشروع، على الرغم من الموافقة عليه من قبل IETF في مارس 2018.
سبب آخر لانخفاض شعبية DANE هو انخفاض معدل انتشار DNSSEC في العالم - . شعر الخبراء أن هذا لم يكن كافيًا للترويج النشط لـ DANE.
على الأرجح، سوف تتطور الصناعة في اتجاه مختلف. بدلاً من استخدام DNS للتحقق من شهادات SSL/TLS، سيقوم اللاعبون في السوق بدلاً من ذلك بترويج بروتوكولات DNS-over-TLS (DoT) وDNS-over-HTTPS (DoH). وقد ذكرنا هذا الأخير في أحد أعمالنا على حبري. فهي تقوم بتشفير طلبات المستخدم إلى خادم DNS والتحقق منها، مما يمنع المهاجمين من انتحال البيانات. في بداية العام، كانت دائرة النقل بالفعل إلى Google من أجل DNS العام الخاص بها. أما بالنسبة لـ DANE، فلا يزال يتعين علينا أن نرى في المستقبل ما إذا كانت التكنولوجيا ستكون قادرة على "العودة إلى السرج" والاستمرار في الانتشار على نطاق واسع.
ماذا لدينا لمزيد من القراءة:
المصدر: www.habr.com