Parlem de què és la tecnologia DANE per autenticar noms de domini mitjançant DNS i per què no s'utilitza àmpliament als navegadors.
/Unsplash/
Què és DANE
Les autoritats de certificació (CA) són organitzacions que certificat criptogràfic . Els van posar la seva signatura electrònica, confirmant-ne l'autenticitat. Tanmateix, de vegades es produeixen situacions quan s'emeten certificats amb infraccions. Per exemple, l'any passat Google va iniciar un "procediment de desconfiança" per als certificats de Symantec a causa del seu compromís (vam cobrir aquesta història amb detall al nostre bloc - и ).
Per evitar aquestes situacions, fa uns quants anys l'IETF Tecnologia DANE (però no s'utilitza àmpliament als navegadors; parlarem de per què va passar això més endavant).
DANE (DNS-based Authentication of Named Entities) és un conjunt d'especificacions que permet utilitzar DNSSEC (Name System Security Extensions) per controlar la validesa dels certificats SSL. DNSSEC és una extensió del sistema de noms de domini que minimitza els atacs de falsificació d'adreces. Mitjançant aquestes dues tecnologies, un administrador web o client pot contactar amb un dels operadors de la zona DNS i confirmar la validesa del certificat que s'utilitza.
Bàsicament, DANE actua com un certificat autofirmat (el garant de la seva fiabilitat és DNSSEC) i complementa les funcions d'una CA.
Com funciona això
L'especificació DANE es descriu a . Segons el document, en s'ha afegit un nou tipus: TLSA. Conté informació sobre el certificat que es transfereix, la mida i el tipus de dades que es transfereixen, així com les dades en si. L'administrador web crea una empremta digital del certificat, la signa amb DNSSEC i la col·loca al TLSA.
El client es connecta a un lloc a Internet i compara el seu certificat amb la "còpia" rebuda de l'operador DNS. Si coincideixen, el recurs es considera de confiança.
La pàgina wiki DANE proporciona l'exemple següent d'una sol·licitud DNS a example.org al port TCP 443:
IN TLSA _443._tcp.example.orgLa resposta és així:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE té diverses extensions que funcionen amb registres DNS diferents de TLSA. El primer és el registre DNS SSHFP per validar les claus de les connexions SSH. Es descriu a , и . La segona és l'entrada OPENPGPKEY per a l'intercanvi de claus mitjançant PGP (). Finalment, el tercer és el registre SMIMEA (l'estàndard no està formalitzat a la RFC, n'hi ha ) per a l'intercanvi de claus criptogràfiques mitjançant S/MIME.
Quin és el problema amb el DANE?
A mitjans de maig es va celebrar la conferència DNS-OARC (es tracta d'una organització sense ànim de lucre que s'ocupa de la seguretat, l'estabilitat i el desenvolupament del sistema de noms de domini). Experts en un dels panells que la tecnologia DANE als navegadors ha fallat (almenys en la seva implementació actual). Present a la conferència Geoff Huston, Leading Research Scientist , un dels cinc registradors regionals d'Internet, sobre DANE com una "tecnologia morta".
Els navegadors populars no admeten l'autenticació de certificat mitjançant DANE. Al mercat , que revelen la funcionalitat dels registres TLSA, però també el seu suport .
Els problemes amb la distribució DANE als navegadors estan associats amb la durada del procés de validació DNSSEC. El sistema es veu obligat a fer càlculs criptogràfics per confirmar l'autenticitat del certificat SSL i passar per tota la cadena de servidors DNS (des de la zona arrel fins al domini de l'amfitrió) quan es connecta per primera vegada a un recurs.
/Unsplash/
Mozilla va intentar eliminar aquest inconvenient mitjançant el mecanisme per a TLS. S'havia de reduir el nombre de registres DNS que el client havia de buscar durant l'autenticació. No obstant això, dins del grup de desenvolupament van sorgir desacords que no es van poder resoldre. Com a resultat, el projecte va ser abandonat, tot i que va ser aprovat per l'IETF el març de 2018.
Un altre motiu de la baixa popularitat de DANE és la baixa prevalença de DNSSEC al món: . Els experts van considerar que això no era suficient per promoure activament el DANE.
El més probable és que la indústria es desenvolupi en una direcció diferent. En lloc d'utilitzar DNS per verificar els certificats SSL/TLS, els jugadors del mercat promouran els protocols DNS-over-TLS (DoT) i DNS-over-HTTPS (DoH). Hem esmentat aquest últim en un dels nostres sobre Habré. Xifren i verifiquen les sol·licituds dels usuaris al servidor DNS, evitant que els atacants falsifiquin dades. A principis d'any, DoT ja ho era a Google pel seu DNS públic. Pel que fa a DANE, queda per veure si la tecnologia podrà "tornar a la cadira" i encara es generalitzarà.
Què més tenim per llegir més:
Font: www.habr.com
