Wir sprechen darüber, was die DANE-Technologie zur Authentifizierung von Domänennamen mithilfe von DNS ist und warum sie in Browsern nicht weit verbreitet ist.
/Unsplash/
Was ist DANE?
Zertifizierungsstellen (CAs) sind Organisationen, die kryptografisches Zertifikat . Sie versehen sie mit ihrer elektronischen Signatur und bestätigen so ihre Echtheit. Allerdings kommt es manchmal vor, dass Zertifikate mit Verstößen ausgestellt werden. Beispielsweise hat Google letztes Jahr aufgrund der Kompromittierung von Symantec-Zertifikaten ein „Detrust-Verfahren“ eingeleitet (wir haben diese Geschichte ausführlich in unserem Blog behandelt – и ).
Um solche Situationen zu vermeiden, hat die IETF vor einigen Jahren DANE-Technologie (aber sie wird in Browsern nicht häufig verwendet – wir werden später darüber sprechen, warum dies passiert ist).
DANE (DNS-based Authentication of Named Entities) ist eine Reihe von Spezifikationen, die es Ihnen ermöglichen, DNSSEC (Name System Security Extensions) zur Kontrolle der Gültigkeit von SSL-Zertifikaten zu verwenden. DNSSEC ist eine Erweiterung des Domain Name Systems, die Adress-Spoofing-Angriffe minimiert. Mithilfe dieser beiden Technologien kann ein Webmaster oder Client einen der DNS-Zonenbetreiber kontaktieren und die Gültigkeit des verwendeten Zertifikats bestätigen.
Im Wesentlichen fungiert DANE als selbstsigniertes Zertifikat (der Garant für seine Zuverlässigkeit ist DNSSEC) und ergänzt die Funktionen einer CA.
Wie funktioniert das
Die DANE-Spezifikation ist in beschrieben . Dem Dokument zufolge in ein neuer Typ wurde hinzugefügt - TLSA. Es enthält Informationen über das zu übertragende Zertifikat, die Größe und Art der übertragenen Daten sowie die Daten selbst. Der Webmaster erstellt einen digitalen Fingerabdruck des Zertifikats, signiert ihn mit DNSSEC und platziert ihn im TLSA.
Der Client stellt eine Verbindung zu einer Site im Internet her und vergleicht sein Zertifikat mit der vom DNS-Betreiber erhaltenen „Kopie“. Wenn sie übereinstimmen, gilt die Ressource als vertrauenswürdig.
Die DANE-Wiki-Seite bietet das folgende Beispiel einer DNS-Anfrage an example.org über TCP-Port 443:
IN TLSA _443._tcp.example.orgDie Antwort sieht so aus:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE verfügt über mehrere Erweiterungen, die mit anderen DNS-Einträgen als TLSA funktionieren. Der erste ist der SSHFP-DNS-Eintrag zur Validierung von Schlüsseln bei SSH-Verbindungen. Es ist beschrieben in , и . Der zweite ist der OPENPGPKEY-Eintrag für den Schlüsselaustausch per PGP (). Der dritte schließlich ist der SMIMEA-Datensatz (der Standard ist im RFC nicht formalisiert, gibt es aber). ) für den kryptografischen Schlüsselaustausch über S/MIME.
Was ist das Problem mit DANE?
Mitte Mai fand die DNS-OARC-Konferenz statt (dies ist eine gemeinnützige Organisation, die sich mit Sicherheit, Stabilität und Entwicklung des Domain-Name-Systems befasst). Experten auf einem der Panels dass die DANE-Technologie in Browsern versagt hat (zumindest in ihrer aktuellen Implementierung). Anwesend auf der Konferenz: Geoff Huston, führender Forschungswissenschaftler , einer von fünf regionalen Internet-Registraren, über DANE als „tote Technologie“.
Gängige Browser unterstützen die Zertifikatauthentifizierung mit DANE nicht. Auf dem Markt , die die Funktionalität von TLSA-Einträgen, aber auch deren Unterstützung offenbaren .
Probleme bei der DANE-Verteilung in Browsern hängen mit der Länge des DNSSEC-Validierungsprozesses zusammen. Das System ist gezwungen, kryptografische Berechnungen durchzuführen, um die Authentizität des SSL-Zertifikats zu bestätigen und die gesamte Kette von DNS-Servern (von der Stammzone bis zur Hostdomäne) zu durchlaufen, wenn es sich zum ersten Mal mit einer Ressource verbindet.
/Unsplash/
Mozilla hat versucht, diesen Nachteil mithilfe des Mechanismus zu beseitigen für TLS. Es sollte die Anzahl der DNS-Einträge reduzieren, die der Client während der Authentifizierung nachschlagen musste. Allerdings kam es innerhalb der Entwicklungsgruppe zu Meinungsverschiedenheiten, die nicht gelöst werden konnten. Infolgedessen wurde das Projekt aufgegeben, obwohl es im März 2018 von der IETF genehmigt wurde.
Ein weiterer Grund für die geringe Popularität von DANE ist die geringe Verbreitung von DNSSEC in der Welt – . Experten waren der Meinung, dass dies nicht ausreichte, um DANE aktiv zu fördern.
Höchstwahrscheinlich wird sich die Branche in eine andere Richtung entwickeln. Anstatt DNS zur Überprüfung von SSL/TLS-Zertifikaten zu verwenden, werden Marktteilnehmer stattdessen die Protokolle DNS-over-TLS (DoT) und DNS-over-HTTPS (DoH) fördern. Letzteres haben wir in einem unserer erwähnt auf Habré. Sie verschlüsseln und verifizieren Benutzeranfragen an den DNS-Server und verhindern so, dass Angreifer Daten fälschen. Zu Beginn des Jahres war DoT bereits dabei an Google für sein öffentliches DNS. Was DANE betrifft, bleibt abzuwarten, ob die Technologie in der Lage sein wird, „wieder in den Sattel zu steigen“ und sich dennoch weiter zu verbreiten.
Was wir sonst noch zum Weiterlesen haben:
Source: habr.com