L'Autorità di Certificazione (CA) sò urganisazioni chì sò ingaghjati certificatu criptograficu certificati SSL. Li mettenu a so firma elettronica, cunfirmendu a so autenticità. Tuttavia, qualchì volta si prisentanu situazioni quandu i certificati sò emessi cù violazioni. Per esempiu, l'annu passatu Google hà iniziatu una "prucedura di sfiducia" per i certificati Symantec per via di u so cumprumissu (avemu cupertu sta storia in dettagliu in u nostru blog - i tempi и два).
Per evitari tali situazioni, parechji anni fà l'IETF cuminciatu à sviluppà Tecnulugia DANE (ma ùn hè micca largamente utilizata in i navigatori - parleremu perchè questu hè accadutu dopu).
DANE (Autentificazione basata in DNS di Entità Nominate) hè un inseme di specificazioni chì vi permette di utilizà DNSSEC (Estensioni di Sicurezza di u Sistema di Nome) per cuntrullà a validità di i certificati SSL. DNSSEC hè una estensione à u Sistema di Nomi di Dominiu chì minimizza l'attacchi di spoofing di indirizzu. Utilizendu sti dui tecnulugii, un webmaster o un cliente pò cuntattà unu di l'operatori di a zona DNS è cunfirmà a validità di u certificatu utilizatu.
Essenzialmente, DANE agisce cum'è un certificatu autofirmatu (u garanti di a so affidabilità hè DNSSEC) è cumplementa e funzioni di una CA.
Cumu serà ch'ella ùn stu travagliu
A specificazione DANE hè descritta in RFC 6698. Sicondu u documentu, in I registri di risorse DNS un novu tipu hè statu aghjuntu - TLSA. Contene infurmazione nantu à u certificatu esse trasferitu, a dimensione è u tipu di dati chì sò trasferiti, è ancu i dati stessi. U webmaster crea una impronta digitale di u certificatu, u firma cù DNSSEC, è u mette in u TLSA.
U cliente cunnetta à un situ in Internet è paragunà u so certificatu cù a "copia" ricevuta da l'operatore DNS. Se currispondenu, allora a risorsa hè cunsiderata di fiducia.
A pagina wiki DANE furnisce l'esempiu seguente di una dumanda DNS à example.org nantu à u portu TCP 443:
IN TLSA _443._tcp.example.org
A risposta pare cusì:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE hà parechje estensioni chì travaglianu cù registri DNS altru da TLSA. U primu hè u record SSHFP DNS per a validazione di e chjave in cunnessione SSH. Hè descrittu in RFC 4255, RFC 6594 и RFC 7479. U sicondu hè l'entrata OPENPGPKEY per u scambiu di chjave cù PGP (RFC 7929). Infine, u terzu hè u record SMIMEA (u standard ùn hè micca formalizatu in u RFC, ci hè solu una bozza) per u scambiu di chjave criptografica via S/MIME.
Chì ci hè u prublema cù DANE
A mità di maghju, a cunferenza DNS-OARC hè stata tenuta (questa hè una urganizazione senza prufittu chì tratta di sicurezza, stabilità è sviluppu di u sistema di nomi di duminiu). Esperti nantu à unu di i pannelli ghjuntu à a cunclusionechì a tecnulugia DANE in i navigatori hà fiascatu (almenu in a so implementazione attuale). Presente à a cunferenza Geoff Huston, Leading Research Scientist APnic, unu di i cinque registratori di Internet regionali, rispostu circa DANE cum'è una "tecnologia morta".
I navigatori populari ùn supportanu micca l'autentificazione di certificati cù DANE. À u mercatu ci sò plugins spiciali, chì revelanu a funziunalità di i registri TLSA, ma ancu u so supportu ferma gradualmente.
I prublemi cù a distribuzione DANE in i navigatori sò assuciati cù a durata di u prucessu di validazione DNSSEC. U sistema hè furzatu à fà calculi criptografici per cunfirmà l'autenticità di u certificatu SSL è passà per tutta a catena di servitori DNS (da a zona radicali à u duminiu di l'ospiti) quandu prima cunnetta à una risorsa.
Mozilla hà pruvatu à eliminà stu inconveniente cù u mecanismu Estensione di a catena DNSSEC per TLS. Hè suppostu di riduce u numeru di registri DNS chì u cliente avia da circà durante l'autentificazione. Tuttavia, i disaccordi sò ghjunti in u gruppu di sviluppu chì ùn pudianu esse risolti. In u risultatu, u prugettu hè statu abbandunatu, ancu s'ellu hè statu appruvatu da l'IETF in March 2018.
Un altru mutivu di a bassa popularità di DANE hè a bassa prevalenza di DNSSEC in u mondu - solu 19% di e risorse travaglianu cun ellu. I sperti pensanu chì questu ùn era micca abbastanza per prumove attivamente DANE.
Probabilmente, l'industria si svilupperà in una direzzione diversa. Invece d'utilizà DNS per verificà i certificati SSL / TLS, i ghjucatori di u mercatu prumove invece i protokolli DNS-over-TLS (DoT) è DNS-over-HTTPS (DoH). Avemu mintuatu l'ultimi in unu di i nostri materiale precedente nantu à Habré. Criptannu è verificanu e dumande di l'utilizatori à u servitore DNS, impediscendu à l'attaccanti di spoofing data. À u principiu di l'annu, DoT era digià implementatu à Google per u so DNS publicu. In quantu à DANE, s'ellu a tecnulugia hà da pudè "ritruvà in a sella" è ancu esse diffusa resta à vede in u futuru.