DNS-dən istifadə edərək domen adlarının autentifikasiyası üçün DANE texnologiyasının nə olması və brauzerlərdə niyə geniş istifadə edilməməsi haqqında danışırıq.
/Açıq/
DANE nədir
Sertifikatlaşdırma Orqanları (CA) olan təşkilatlardır kriptoqrafik sertifikat . Üzərlərinə elektron imza qoyurlar, həqiqiliyini təsdiqləyirlər. Lakin bəzən arayışların pozuntularla verildiyi hallar yaranır. Məsələn, keçən il Google Symantec sertifikatları üçün güzəştə getdiyinə görə "etibarsızlıq proseduru" başlatdı (biz bu hekayəni bloqumuzda ətraflı işıqlandırdıq - и ).
Belə halların qarşısını almaq üçün bir neçə il əvvəl IETF DANE texnologiyası (lakin brauzerlərdə geniş istifadə edilmir - bunun niyə baş verdiyini daha sonra danışacağıq).
DANE (DNS-based Authentication of Named Entities) SSL sertifikatlarının etibarlılığına nəzarət etmək üçün DNSSEC (Ad Sistemi Təhlükəsizlik Genişləndirilməsi) istifadə etməyə imkan verən spesifikasiyalar toplusudur. DNSSEC, ünvan saxtakarlığı hücumlarını minimuma endirən Domen Adı Sisteminin uzantısıdır. Bu iki texnologiyadan istifadə edərək veb ustası və ya müştəri DNS zonası operatorlarından biri ilə əlaqə saxlaya və istifadə olunan sertifikatın etibarlılığını təsdiqləyə bilər.
Əslində, DANE özünü imzalayan sertifikat kimi çıxış edir (onun etibarlılığının təminatçısı DNSSEC-dir) və CA-nın funksiyalarını tamamlayır.
Bu necə işləyir
DANE spesifikasiyası burada təsvir edilmişdir . Sənədə əsasən, in yeni bir növ əlavə edildi - TLSA. Bu, ötürülən sertifikat, ötürülən məlumatların ölçüsü və növü, həmçinin məlumatların özü haqqında məlumatları ehtiva edir. Veb ustası sertifikatın rəqəmsal barmaq izini yaradır, onu DNSSEC ilə imzalayır və TLSA-ya yerləşdirir.
Müştəri İnternetdəki sayta qoşulur və onun sertifikatını DNS operatorundan alınan “nüsxə” ilə müqayisə edir. Əgər onlar uyğun gəlirsə, resurs etibarlı sayılır.
DANE viki səhifəsi TCP 443 portunda example.org-a DNS sorğusunun aşağıdakı nümunəsini təqdim edir:
IN TLSA _443._tcp.example.orgCavab belə görünür:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE-də TLSA-dan başqa DNS qeydləri ilə işləyən bir neçə uzantı var. Birincisi, SSH bağlantılarında açarları yoxlamaq üçün SSHFP DNS qeydidir. -də təsvir edilmişdir , и . İkincisi, PGP istifadə edərək açar mübadiləsi üçün OPENPGPKEY girişidir (). Nəhayət, üçüncüsü SMIMEA rekordudur (standart RFC-də rəsmiləşdirilməyib, var ) S/MIME vasitəsilə kriptoqrafik açar mübadiləsi üçün.
DANE ilə problem nədir
Mayın ortalarında DNS-OARC konfransı keçirildi (bu, təhlükəsizlik, sabitlik və domen adı sisteminin inkişafı ilə məşğul olan qeyri-kommersiya təşkilatıdır). Panellərdən birində ekspertlər brauzerlərdəki DANE texnologiyası uğursuz oldu (ən azı indiki tətbiqində). Konfransda aparıcı tədqiqatçı alim Geoff Huston çıxış edir , beş regional İnternet registratorundan biri, DANE haqqında “ölü texnologiya” kimi.
Populyar brauzerlər DANE istifadə edərək sertifikatın autentifikasiyasını dəstəkləmir. Bazarda TLSA qeydlərinin funksionallığını, həm də dəstəyini ortaya qoyan .
Brauzerlərdə DANE paylanması ilə bağlı problemlər DNSSEC doğrulama prosesinin uzunluğu ilə bağlıdır. Sistem SSL sertifikatının həqiqiliyini təsdiqləmək üçün kriptoqrafik hesablamalar aparmağa və resursa ilk dəfə qoşulduqda DNS serverlərinin bütün zəncirindən (kök zonadan host domeninə qədər) keçməyə məcbur olur.
/Açıq/
Mozilla mexanizmdən istifadə edərək bu çatışmazlığı aradan qaldırmağa çalışdı TLS üçün. Bu, müştərinin autentifikasiya zamanı axtarmalı olduğu DNS qeydlərinin sayını azaltmalı idi. Ancaq inkişaf qrupu daxilində həll edilə bilməyən fikir ayrılıqları yarandı. Nəticədə, 2018-ci ilin martında IETF tərəfindən təsdiqlənsə də, layihədən imtina edildi.
DANE-nin aşağı populyarlığının başqa bir səbəbi dünyada DNSSEC-in az yayılmasıdır - . Mütəxəssislər hesab edirdilər ki, bu, DANE-ni aktiv şəkildə tanıtmaq üçün kifayət deyil.
Çox güman ki, sənaye fərqli istiqamətdə inkişaf edəcək. SSL/TLS sertifikatlarını yoxlamaq üçün DNS-dən istifadə etmək əvəzinə, bazar oyunçuları TLS üzərindən DNS (DoT) və DNS-over-HTTPS (DoH) protokollarını təbliğ edəcəklər. Sonuncunu məqalələrimizin birində qeyd etdik Habré haqqında. Onlar istifadəçi sorğularını DNS serverinə şifrələyir və yoxlayır, təcavüzkarların məlumatların saxtalaşdırılmasının qarşısını alır. İlin əvvəlində DoT artıq idi İctimai DNS üçün Google-a. DANE-yə gəlincə, texnologiyanın “yəhərə geri dönə bilməyəcəyi” və hələ də geniş yayıla biləcəyi gələcəkdə görülməlidir.
Əlavə oxumaq üçün başqa nələrimiz var:
Mənbə: www.habr.com