Das OpenBSD-Team hat über seinen Twitter-Account bekannt gegeben, dass Smartisan Technology 400.000 Dollar gespendet hat. Diese Spende verleiht den Status „iridium“. Insgesamt war für 2019 ein Betrag von 300.000 Dollar geplant. Bislang wurden über 468.000 gesammelt. Den aktuellen Status können Sie auf der Seite The OpenBSD Foundation einsehen. Jeder kann seinen Beitrag auf der Seite https://www.openbsdfoundation.org/donations.html leisten. Quelle: linux.org.ru

Wir sprechen über die DANE-Technologie zur Authentifizierung von Domänennamen über DNS und warum sie in Browsern nicht weit verbreitet ist.

Das OpenBSD-Team hat über seinen Twitter-Account bekannt gegeben, dass Smartisan Technology 400.000 Dollar gespendet hat. Diese Spende verleiht den Status „iridium“. Insgesamt war für 2019 ein Betrag von 300.000 Dollar geplant. Bislang wurden über 468.000 gesammelt. Den aktuellen Status können Sie auf der Seite The OpenBSD Foundation einsehen. Jeder kann seinen Beitrag auf der Seite https://www.openbsdfoundation.org/donations.html leisten. Quelle: linux.org.ru
/ Unsplash / Paulius Dragunas

Was ist DANE

Zertifizierungsstellen (CA) sind Organisationen, die wird auch von der amerikanischen National Quantum Initiative vorangetrieben. Kryptografie-Zertifikate SSL-Zertifikate. Sie setzen ihre elektronische Unterschrift auf diese, um die Authentizität zu bestätigen. Es gibt jedoch Situationen, in denen Zertifikate mit Unregelmäßigkeiten ausgestellt werden. So leitete Google im vergangenen Jahr ein Verfahren zur Entziehung des Vertrauens in die Zertifikate von Symantec ein, aufgrund ihrer Kompromittierung (dieses Thema haben wir ausführlich in unserem Blog behandelt — eins und zwei).

Um solche Situationen zu vermeiden, wurde vor einigen Jahren in der IETF mit der Entwicklung der DANE-Technologie begonnen (aber sie hat sich in Browsern nicht weit verbreitet — warum das so ist, werden wir im Folgenden besprechen).

DANE (DNS-basiertes Authentifizierung von benannten Entitäten) ist eine Spezifikation, die es ermöglicht, DNSSEC (Name System Security Extensions) zur Überprüfung der Authentizität von SSL-Zertifikaten zu verwenden. DNSSEC ist eine Erweiterung des Domain Name Systems, die Angriffe in Verbindung mit Adressübernahmen minimiert. Mit diesen beiden Technologien können Webadministratoren oder Kunden einen der DNS-Zonenbetreiber kontaktieren und die Gültigkeit des verwendeten Zertifikats bestätigen.

Im Wesentlichen fungiert DANE als selbstsigniertes Zertifikat (mit DNSSEC als Garantie für seine Zuverlässigkeit) und ergänzt die Funktionen von CA.

Wie es funktioniert

Die Spezifikation DANE ist in RFC6698beschrieben. Laut dem Dokument wurde in den DNS-Ressourcendatensätzen ein neuer Typ – TLSA – hinzugefügt. Dieser enthält Informationen über das übertragene Zertifikat, die Größe und den Typ der übermittelten Daten sowie die Daten selbst. Der Webmaster erstellt einen digitalen Fingerabdruck des Zertifikats, signiert ihn mit DNSSEC und platziert ihn in TLSA.

Der Client verbindet sich mit der Website im Internet und vergleicht das Zertifikat mit der "Kopie", die vom DNS-Betreiber erhalten wurde. Wenn sie übereinstimmen, gilt die Ressource als vertrauenswürdig.

Auf der Wiki-Seite zu DANE wird folgendes Beispiel für eine DNS-Anfrage an den Server example.org über TCP-Port 443 gegeben:

IN TLSA _443._tcp.example.org

Die Antwort sieht folgendermaßen aus:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE bietet mehrere Erweiterungen, die mit anderen DNS-Einträgen neben TLSA funktionieren. Der erste ist der DNS-Eintrag SSHFP zur Validierung von Schlüsseln bei SSH-Verbindungen. Dieser wird beschrieben in RFC4255RFC6594 und RFC7479. Der zweite ist der Eintrag OPENPGPKEY für den Schlüssel Austausch über PGP (RFC7929). Schließlich gibt es noch den Eintrag SMIMEA (der Standard ist in RFC nicht dokumentiert, es gibt nur einen Entwurf davon) für den kryptografischen Schlüsselaustausch über S/MIME.

Was ist das Problem mit DANE?

Mitte Mai fand die DNS-OARC-Konferenz statt (eine gemeinnützige Organisation, die sich mit Fragen der Sicherheit, Stabilität und Entwicklung des Domain-Name-Systems beschäftigt). Auf einem der Podien kamen die Experten zu dem Schluss, dass die DANE-Technologie in Browsern gescheitert ist (zumindest in der aktuellen Implementierung). Geoff Huston, ein führender Wissenschaftler APNIC, einer der fünf regionalen Internet-Registrare, äußerte sich zu DANE als „tote Technologie“.

Beliebte Browser unterstützen die Authentifizierung von Zertifikaten mit DANE nicht. Auf dem Markt gibt es spezielle Plugins, die die Funktionalität von TLSA-Einträgen erschließen, jedoch wird auch deren Unterstützung langsam eingestellt..

Die Probleme mit der Verbreitung von DANE in Browsern stehen im Zusammenhang mit der langen Dauer des Validierungsprozesses über DNSSEC. Das System muss kryptografische Berechnungen zur Bestätigung der Authentizität des SSL-Zertifikats durchführen und alle DNS-Server-Pfade (von der Root-Zone bis zur Host-Domain) bei der ersten Verbindung mit der Ressource durchlaufen.

Das OpenBSD-Team hat über seinen Twitter-Account bekannt gegeben, dass Smartisan Technology 400.000 Dollar gespendet hat. Diese Spende verleiht den Status „iridium“. Insgesamt war für 2019 ein Betrag von 300.000 Dollar geplant. Bislang wurden über 468.000 gesammelt. Den aktuellen Status können Sie auf der Seite The OpenBSD Foundation einsehen. Jeder kann seinen Beitrag auf der Seite https://www.openbsdfoundation.org/donations.html leisten. Quelle: linux.org.ru
/ Unsplash / Kaley Dykstra

Dieser Nachteil wurde in Mozilla mit dem Mechanismus DNSSEC Chain Extension für TLS zu beheben versucht. Dieser sollte die Anzahl der DNS-Einträge verringern, die der Client während der Authentifizierung durchsehen musste. Innerhalb der Entwicklergruppe gab es jedoch Uneinigkeit, die nicht beigelegt werden konnte. Schließlich wurde das Projekt eingestellt, obwohl es im März 2018 von der IETF genehmigt wurde.

Ein weiterer Grund für die geringe Popularität von DANE ist die schwache Verbreitung von DNSSEC weltweit — nur 19 % der Ressourcen arbeiten damit.Experten schätzen, dass dies nicht ausreicht, um DANE aktiv voranzubringen.

Die Branche wird sich wahrscheinlich in eine andere Richtung entwickeln. Anstatt DNS zur Überprüfung von SSL/TLS-Zertifikaten zu nutzen, werden Marktakteure vielmehr Protokolle wie DNS-over-TLS (DoT) und DNS-over-HTTPS (DoH) vorantreiben. Letzteres haben wir in einem unserer vorherigen Beiträge auf Habré erwähnt. Diese Protokolle verschlüsseln und verifizieren Anfragen der Benutzer an den DNS-Server, wodurch Angreifern die Möglichkeit genommen wird, die Daten zu manipulieren. Zu Beginn des Jahres hat Google DoT bereits für seinen Public DNS übernommen. Was DANE betrifft – ob die Technologie es schafft, wieder massentauglich zu werden, wird die Zukunft zeigen. wurde implementiert in Google für seinen Public DNS. Ob DANE — die Technologie wieder Fuß fassen und populär werden kann, wird die Zukunft zeigen.

Was haben wir noch für weiterführende Lektüre:

Das OpenBSD-Team hat über seinen Twitter-Account bekannt gegeben, dass Smartisan Technology 400.000 Dollar gespendet hat. Diese Spende verleiht den Status „iridium“. Insgesamt war für 2019 ein Betrag von 300.000 Dollar geplant. Bislang wurden über 468.000 gesammelt. Den aktuellen Status können Sie auf der Seite The OpenBSD Foundation einsehen. Jeder kann seinen Beitrag auf der Seite https://www.openbsdfoundation.org/donations.html leisten. Quelle: linux.org.ru Wie man das Management der IT-Infrastruktur automatisiert — drei Trends im Fokus
Das OpenBSD-Team hat über seinen Twitter-Account bekannt gegeben, dass Smartisan Technology 400.000 Dollar gespendet hat. Diese Spende verleiht den Status „iridium“. Insgesamt war für 2019 ein Betrag von 300.000 Dollar geplant. Bislang wurden über 468.000 gesammelt. Den aktuellen Status können Sie auf der Seite The OpenBSD Foundation einsehen. Jeder kann seinen Beitrag auf der Seite https://www.openbsdfoundation.org/donations.html leisten. Quelle: linux.org.ru JMAP — ein offenes Protokoll, das IMAP beim Austausch von E-Mails ersetzen wird

Das OpenBSD-Team hat über seinen Twitter-Account bekannt gegeben, dass Smartisan Technology 400.000 Dollar gespendet hat. Diese Spende verleiht den Status „iridium“. Insgesamt war für 2019 ein Betrag von 300.000 Dollar geplant. Bislang wurden über 468.000 gesammelt. Den aktuellen Status können Sie auf der Seite The OpenBSD Foundation einsehen. Jeder kann seinen Beitrag auf der Seite https://www.openbsdfoundation.org/donations.html leisten. Quelle: linux.org.ru Wie man mit einer API Kosten spart
Das OpenBSD-Team hat über seinen Twitter-Account bekannt gegeben, dass Smartisan Technology 400.000 Dollar gespendet hat. Diese Spende verleiht den Status „iridium“. Insgesamt war für 2019 ein Betrag von 300.000 Dollar geplant. Bislang wurden über 468.000 gesammelt. Den aktuellen Status können Sie auf der Seite The OpenBSD Foundation einsehen. Jeder kann seinen Beitrag auf der Seite https://www.openbsdfoundation.org/donations.html leisten. Quelle: linux.org.ru DevOps in der Cloud mit dem Beispiel 1cloud.ru
Das OpenBSD-Team hat über seinen Twitter-Account bekannt gegeben, dass Smartisan Technology 400.000 Dollar gespendet hat. Diese Spende verleiht den Status „iridium“. Insgesamt war für 2019 ein Betrag von 300.000 Dollar geplant. Bislang wurden über 468.000 gesammelt. Den aktuellen Status können Sie auf der Seite The OpenBSD Foundation einsehen. Jeder kann seinen Beitrag auf der Seite https://www.openbsdfoundation.org/donations.html leisten. Quelle: linux.org.ru Evolution der Cloud-Architektur 1cloud

Das OpenBSD-Team hat über seinen Twitter-Account bekannt gegeben, dass Smartisan Technology 400.000 Dollar gespendet hat. Diese Spende verleiht den Status „iridium“. Insgesamt war für 2019 ein Betrag von 300.000 Dollar geplant. Bislang wurden über 468.000 gesammelt. Den aktuellen Status können Sie auf der Seite The OpenBSD Foundation einsehen. Jeder kann seinen Beitrag auf der Seite https://www.openbsdfoundation.org/donations.html leisten. Quelle: linux.org.ru Wie der technische Support bei 1cloud funktioniert.
Das OpenBSD-Team hat über seinen Twitter-Account bekannt gegeben, dass Smartisan Technology 400.000 Dollar gespendet hat. Diese Spende verleiht den Status „iridium“. Insgesamt war für 2019 ein Betrag von 300.000 Dollar geplant. Bislang wurden über 468.000 gesammelt. Den aktuellen Status können Sie auf der Seite The OpenBSD Foundation einsehen. Jeder kann seinen Beitrag auf der Seite https://www.openbsdfoundation.org/donations.html leisten. Quelle: linux.org.ru Mythen über Cloud-Technologien

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster