Mluvíme o tom, co je technologie DANE pro autentizaci doménových jmen pomocí DNS a proč není široce používána v prohlížečích.
/unsplash/
Co je DANE
Certifikační autority (CA) jsou organizace, které kryptografický certifikát . Umístili na ně svůj elektronický podpis, který potvrdil jejich pravost. Někdy však nastanou situace, kdy jsou certifikáty vydávány s porušením. Například v loňském roce Google zahájil „postup detrustace“ certifikátů Symantec kvůli jejich kompromitaci (tento příběh jsme podrobně popsali v našem blogu – и ).
Aby se předešlo takovým situacím, před několika lety IETF Technologie DANE (ale není široce používána v prohlížečích - o tom, proč se to stalo, si povíme později).
DANE (DNS-based Authentication of Named Entities) je sada specifikací, která umožňuje používat DNSSEC (Name System Security Extensions) ke kontrole platnosti SSL certifikátů. DNSSEC je rozšíření systému doménových jmen, které minimalizuje útoky falšování adres. Pomocí těchto dvou technologií může webmaster nebo klient kontaktovat jednoho z operátorů DNS zóny a potvrdit platnost používaného certifikátu.
DANE v podstatě funguje jako self-signed certifikát (garantem jeho spolehlivosti je DNSSEC) a doplňuje funkce CA.
Jak to funguje
Specifikace DANE je popsána v . Podle dokumentu v byl přidán nový typ - TLSA. Obsahuje informace o přenášeném certifikátu, velikosti a typu přenášených dat a také data samotná. Webmaster vytvoří digitální otisk certifikátu, podepíše jej pomocí DNSSEC a umístí jej do TLSA.
Klient se připojí k webu na internetu a porovná svůj certifikát s „kopií“ obdrženou od operátora DNS. Pokud se shodují, je zdroj považován za důvěryhodný.
Wiki stránka DANE poskytuje následující příklad požadavku DNS na example.org na TCP portu 443:
IN TLSA _443._tcp.example.orgOdpověď vypadá takto:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE má několik rozšíření, která pracují se záznamy DNS jinými než TLSA. První je záznam DNS SSHFP pro ověřování klíčů u připojení SSH. Je to popsáno v , и . Druhým je položka OPENPGPKEY pro výměnu klíčů pomocí PGP (). Konečně třetí je záznam SMIMEA (standard není formalizován v RFC, existuje ) pro výměnu kryptografických klíčů přes S/MIME.
Jaký je problém s DANE
V polovině května se konala konference DNS-OARC (jedná se o neziskovou organizaci, která se zabývá bezpečností, stabilitou a rozvojem systému doménových jmen). Odborníci na jednom z panelů že technologie DANE v prohlížečích selhala (alespoň ve své současné implementaci). Přítomen na konferenci Geoff Huston, Leading Research Scientist , jeden z pěti regionálních internetových registrátorů, o DANE jako o „mrtvé technologii“.
Oblíbené prohlížeče nepodporují ověřování certifikátů pomocí DANE. Na trhu , které odhalují funkčnost TLSA záznamů, ale také jejich podporu .
Problémy s distribucí DANE v prohlížečích jsou spojeny s délkou procesu ověřování DNSSEC. Systém je nucen provést kryptografické výpočty, aby potvrdil pravost certifikátu SSL a prošel celým řetězcem serverů DNS (od kořenové zóny po hostitelskou doménu) při prvním připojení ke zdroji.
/unsplash/
Mozilla se pokusila tento nedostatek odstranit pomocí mechanismu pro TLS. Měla snížit počet DNS záznamů, které musel klient při autentizaci vyhledávat. V rámci vývojové skupiny však vznikly neshody, které se nepodařilo vyřešit. V důsledku toho byl projekt opuštěn, ačkoli byl schválen IETF v březnu 2018.
Dalším důvodem nízké popularity DANE je nízká prevalence DNSSEC ve světě - . Odborníci se domnívali, že to k aktivní propagaci DANE nestačí.
S největší pravděpodobností se průmysl bude vyvíjet jiným směrem. Místo používání DNS k ověřování certifikátů SSL/TLS budou účastníci trhu místo toho prosazovat protokoly DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH). O tom druhém jsme se zmínili v jednom z našich na Habré. Šifrují a ověřují požadavky uživatelů na server DNS, čímž brání útočníkům ve falšování dat. Na začátku roku už byl DoT společnosti Google pro její veřejné DNS. Pokud jde o DANE, zda se tato technologie dokáže „zpět do sedla“ a stále se rozšíří, to se teprve uvidí.
Co dalšího máme k dalšímu čtení:
Zdroj: www.habr.com