Certificeringsmyndigheder (CA'er) er organisationer, der er forlovet kryptografisk certifikat SSL-certifikater. De sætter deres elektroniske signatur på dem, hvilket bekræfter deres ægthed. Nogle gange opstår der dog situationer, når der udstedes certifikater med overtrædelser. For eksempel indledte Google sidste år en "afstillelsesprocedure" for Symantec-certifikater på grund af deres kompromittering (vi dækkede denne historie i detaljer i vores blog - tid и два).
For at undgå sådanne situationer, for flere år siden IETF begyndte at udvikle sig DANE-teknologi (men den er ikke meget brugt i browsere - vi taler om, hvorfor dette skete senere).
DANE (DNS-baseret Authentication of Named Entities) er et sæt specifikationer, der giver dig mulighed for at bruge DNSSEC (Name System Security Extensions) til at kontrollere gyldigheden af SSL-certifikater. DNSSEC er en udvidelse til Domain Name System, der minimerer adresse-spoofing-angreb. Ved at bruge disse to teknologier kan en webmaster eller klient kontakte en af DNS-zoneoperatørerne og bekræfte gyldigheden af det anvendte certifikat.
Grundlæggende fungerer DANE som et selvsigneret certifikat (garanten for dets pålidelighed er DNSSEC) og supplerer funktionerne i en CA.
Hvordan fungerer denne her
DANE-specifikationen er beskrevet i RFC6698. Ifølge dokumentet, i DNS-ressourceregistreringer en ny type blev tilføjet - TLSA. Den indeholder oplysninger om certifikatet, der overføres, størrelsen og typen af data, der overføres, samt selve dataene. Webmasteren opretter et digitalt tommelfingeraftryk af certifikatet, underskriver det med DNSSEC og placerer det i TLSA.
Klienten opretter forbindelse til et websted på internettet og sammenligner sit certifikat med "kopi" modtaget fra DNS-operatøren. Hvis de matcher, betragtes ressourcen som betroet.
DANE wiki-siden giver følgende eksempel på en DNS-anmodning til example.org på TCP-port 443:
IN TLSA _443._tcp.example.org
Svaret ser således ud:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE har flere udvidelser, der fungerer med andre DNS-poster end TLSA. Den første er SSHFP DNS-posten til validering af nøgler på SSH-forbindelser. Det er beskrevet i RFC4255, RFC6594 и RFC7479. Den anden er OPENPGPKEY-indgangen til nøgleudveksling ved hjælp af PGP (RFC7929). Endelig er den tredje SMIMEA-posten (standarden er ikke formaliseret i RFC, der er kun et udkast til det) til kryptografisk nøgleudveksling via S/MIME.
Hvad er problemet med DANE
I midten af maj blev DNS-OARC-konferencen afholdt (dette er en non-profit organisation, der beskæftiger sig med sikkerhed, stabilitet og udvikling af domænenavnesystemet). Eksperter i et af panelerne kom til konklusionenat DANE teknologi i browsere har fejlet (i hvert fald i sin nuværende implementering). Til stede ved konferencen Geoff Huston, Leading Research Scientist APNIC, en af fem regionale internetregistratorer, svarede om DANKER som en "død teknologi".
Populære browsere understøtter ikke certifikatgodkendelse ved brug af DANE. På markedet der er specielle plugins, som afslører funktionaliteten af TLSA-poster, men også deres support gradvist stoppe.
Problemer med DANE-distribution i browsere er forbundet med længden af DNSSEC-valideringsprocessen. Systemet er tvunget til at foretage kryptografiske beregninger for at bekræfte ægtheden af SSL-certifikatet og gå gennem hele kæden af DNS-servere (fra rodzonen til værtsdomænet), når der først oprettes forbindelse til en ressource.
Mozilla forsøgte at eliminere denne ulempe ved hjælp af mekanismen DNSSEC kædeforlængelse til TLS. Det skulle reducere antallet af DNS-poster, som klienten skulle slå op under godkendelse. Der opstod dog uenigheder inden for udviklingsgruppen, som ikke kunne løses. Som et resultat blev projektet opgivet, selvom det blev godkendt af IETF i marts 2018.
En anden grund til DANEs lave popularitet er den lave forekomst af DNSSEC i verden - kun 19 % af ressourcerne arbejder med det. Eksperter mente, at dette ikke var nok til aktivt at promovere DANE.
Mest sandsynligt vil branchen udvikle sig i en anden retning. I stedet for at bruge DNS til at verificere SSL/TLS-certifikater, vil markedsaktører i stedet fremme DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH) protokoller. Vi nævnte sidstnævnte i en af vores tidligere materialer på Habré. De krypterer og verificerer brugeranmodninger til DNS-serveren, hvilket forhindrer angribere i at spoofe data. I begyndelsen af året var DoT allerede implementeret til Google for dets offentlige DNS. Hvad angår DANE, må det vise sig i fremtiden, om teknologien vil kunne "komme tilbage i sadlen" og stadig blive udbredt.