Certifikacijski autoriteti (CA) su organizacije koje su angažovani kriptografski sertifikat SSL certifikati. Na njih su stavili svoj elektronski potpis, potvrđujući njihovu autentičnost. Međutim, ponekad se javljaju situacije kada se potvrde izdaju sa kršenjima. Na primjer, Google je prošle godine pokrenuo “proceduru oduzimanja povjerenja” za Symantec certifikate zbog njihovog kompromisa (detaljno smo obrađivali ovu priču na našem blogu - puta и два).
Kako bi izbjegli ovakve situacije, prije nekoliko godina je IETF počeo da se razvija DANE tehnologija (ali se ne koristi široko u pretraživačima - o tome zašto se to dogodilo kasnije ćemo govoriti).
DANE (DNS-based Authentication of Named Entities) je skup specifikacija koji vam omogućava da koristite DNSSEC (Name System Security Extensions) za kontrolu valjanosti SSL certifikata. DNSSEC je proširenje za sistem imena domena koje minimizira napade lažiranja adresa. Koristeći ove dvije tehnologije, webmaster ili klijent može kontaktirati jednog od operatera DNS zone i potvrditi valjanost certifikata koji se koristi.
U suštini, DANE djeluje kao samopotpisani certifikat (garant njegove pouzdanosti je DNSSEC) i dopunjuje funkcije CA.
Kako ovo radi
DANE specifikacija je opisana u RFC6698. Prema dokumentu, u DNS resursni zapisi dodan je novi tip - TLSA. Sadrži informacije o certifikatu koji se prenosi, veličini i vrsti podataka koji se prenose, kao i samim podacima. Webmaster kreira digitalni otisak certifikata, potpisuje ga DNSSEC-om i stavlja ga u TLSA.
Klijent se povezuje sa sajtom na Internetu i upoređuje svoj sertifikat sa „kopijom“ dobijenom od DNS operatera. Ako se podudaraju, onda se resurs smatra pouzdanim.
DANE wiki stranica pruža sljedeći primjer DNS zahtjeva za example.org na TCP portu 443:
IN TLSA _443._tcp.example.org
Odgovor izgleda ovako:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE ima nekoliko ekstenzija koje rade sa DNS zapisima koji nisu TLSA. Prvi je SSHFP DNS zapis za provjeru valjanosti ključeva na SSH konekcijama. Opisana je u RFC4255, RFC6594 и RFC7479. Drugi je unos OPENPGPKEY za razmjenu ključeva pomoću PGP-a (RFC7929). Konačno, treći je SMIMEA zapis (standard nije formaliziran u RFC-u, postoji samo nacrt toga) za razmjenu kriptografskih ključeva putem S/MIME.
Šta je problem sa DANE-om
Sredinom maja održana je konferencija DNS-OARC (ovo je neprofitna organizacija koja se bavi bezbednošću, stabilnošću i razvojem sistema naziva domena). Stručnjaci na jednom od panela došao do zaključkada DANE tehnologija u pretraživačima nije uspjela (barem u trenutnoj implementaciji). Prisutan na konferenciji Geoff Huston, vodeći naučnik istraživanja APnic, jedan od pet regionalnih internet registratora, odgovorio o DANE-u kao “mrtvoj tehnologiji”.
Popularni pretraživači ne podržavaju provjeru autentičnosti certifikata koristeći DANE. Na tržištu postoje posebni dodaci, koji otkrivaju funkcionalnost TLSA zapisa, ali i njihovu podršku postepeno prestati.
Problemi sa DANE distribucijom u pretraživačima povezani su sa dužinom DNSSEC procesa validacije. Sistem je primoran da izvrši kriptografske kalkulacije kako bi potvrdio autentičnost SSL sertifikata i prošao kroz ceo lanac DNS servera (od korenske zone do domena domaćina) prilikom prvog povezivanja na resurs.
Mozilla je pokušala da otkloni ovaj nedostatak koristeći mehanizam DNSSEC proširenje lanca za TLS. Trebalo je smanjiti broj DNS zapisa koje je klijent morao tražiti tokom autentifikacije. Međutim, unutar razvojne grupe došlo je do nesuglasica koje se nisu mogle riješiti. Kao rezultat toga, projekat je napušten, iako ga je IETF odobrio u martu 2018.
Drugi razlog za nisku popularnost DANE-a je niska rasprostranjenost DNSSEC-a u svijetu - samo 19% resursa radi s njim. Stručnjaci smatraju da to nije dovoljno za aktivnu promociju DANE-a.
Najvjerovatnije će se industrija razvijati u drugom smjeru. Umjesto da koriste DNS za provjeru SSL/TLS certifikata, tržišni igrači će umjesto toga promovirati DNS-over-TLS (DoT) i DNS-over-HTTPS (DoH) protokole. Potonje smo spomenuli u jednom od naših prethodni materijali na Habréu. Oni šifriraju i verificiraju korisničke zahtjeve prema DNS serveru, sprječavajući napadače da lažiraju podatke. Početkom godine DoT je već bio implementirano Googleu za svoj javni DNS. Što se tiče DANE-a, da li će tehnologija moći da se „vrati u sedlo“ i da i dalje postane široko rasprostranjena ostaje da se vidi u budućnosti.