Wir sprechen über die DANE-Technologie zur Authentifizierung von Domänennamen über DNS und warum sie in Browsern nicht weit verbreitet ist.
/ Unsplash /
Was ist DANE
Zertifizierungsstellen (CA) sind Organisationen, die Kryptografie-Zertifikate . Sie setzen ihre elektronische Unterschrift auf diese, um die Authentizität zu bestätigen. Es gibt jedoch Situationen, in denen Zertifikate mit Unregelmäßigkeiten ausgestellt werden. So leitete Google im vergangenen Jahr ein Verfahren zur Entziehung des Vertrauens in die Zertifikate von Symantec ein, aufgrund ihrer Kompromittierung (dieses Thema haben wir ausführlich in unserem Blog behandelt — und ).
Um solche Situationen zu vermeiden, wurde vor einigen Jahren in der IETF der DANE-Technologie begonnen (aber sie hat sich in Browsern nicht weit verbreitet — warum das so ist, werden wir im Folgenden besprechen).
DANE (DNS-basiertes Authentifizierung von benannten Entitäten) ist eine Spezifikation, die es ermöglicht, DNSSEC (Name System Security Extensions) zur Überprüfung der Authentizität von SSL-Zertifikaten zu verwenden. DNSSEC ist eine Erweiterung des Domain Name Systems, die Angriffe in Verbindung mit Adressübernahmen minimiert. Mit diesen beiden Technologien können Webadministratoren oder Kunden einen der DNS-Zonenbetreiber kontaktieren und die Gültigkeit des verwendeten Zertifikats bestätigen.
Im Wesentlichen fungiert DANE als selbstsigniertes Zertifikat (mit DNSSEC als Garantie für seine Zuverlässigkeit) und ergänzt die Funktionen von CA.
Wie es funktioniert
Die Spezifikation DANE ist in beschrieben. Laut dem Dokument wurde in den ein neuer Typ – TLSA – hinzugefügt. Dieser enthält Informationen über das übertragene Zertifikat, die Größe und den Typ der übermittelten Daten sowie die Daten selbst. Der Webmaster erstellt einen digitalen Fingerabdruck des Zertifikats, signiert ihn mit DNSSEC und platziert ihn in TLSA.
Der Client verbindet sich mit der Website im Internet und vergleicht das Zertifikat mit der "Kopie", die vom DNS-Betreiber erhalten wurde. Wenn sie übereinstimmen, gilt die Ressource als vertrauenswürdig.
Auf der Wiki-Seite zu DANE wird folgendes Beispiel für eine DNS-Anfrage an den Server example.org über TCP-Port 443 gegeben:
IN TLSA _443._tcp.example.orgDie Antwort sieht folgendermaßen aus:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE bietet mehrere Erweiterungen, die mit anderen DNS-Einträgen neben TLSA funktionieren. Der erste ist der DNS-Eintrag SSHFP zur Validierung von Schlüsseln bei SSH-Verbindungen. Dieser wird beschrieben in , und . Der zweite ist der Eintrag OPENPGPKEY für den Schlüssel Austausch über PGP (). Schließlich gibt es noch den Eintrag SMIMEA (der Standard ist in RFC nicht dokumentiert, es gibt nur ) für den kryptografischen Schlüsselaustausch über S/MIME.
Was ist das Problem mit DANE?
Mitte Mai fand die DNS-OARC-Konferenz statt (eine gemeinnützige Organisation, die sich mit Fragen der Sicherheit, Stabilität und Entwicklung des Domain-Name-Systems beschäftigt). Auf einem der Podien kamen die Experten , dass die DANE-Technologie in Browsern gescheitert ist (zumindest in der aktuellen Implementierung). Geoff Huston, ein führender Wissenschaftler , einer der fünf regionalen Internet-Registrare, zu DANE als „tote Technologie“.
Beliebte Browser unterstützen die Authentifizierung von Zertifikaten mit DANE nicht. Auf dem Markt , die die Funktionalität von TLSA-Einträgen erschließen, jedoch wird auch deren Unterstützung .
Die Probleme mit der Verbreitung von DANE in Browsern stehen im Zusammenhang mit der langen Dauer des Validierungsprozesses über DNSSEC. Das System muss kryptografische Berechnungen zur Bestätigung der Authentizität des SSL-Zertifikats durchführen und alle DNS-Server-Pfade (von der Root-Zone bis zur Host-Domain) bei der ersten Verbindung mit der Ressource durchlaufen.

/ Unsplash /
Dieser Nachteil wurde in Mozilla mit dem Mechanismus für TLS zu beheben versucht. Dieser sollte die Anzahl der DNS-Einträge verringern, die der Client während der Authentifizierung durchsehen musste. Innerhalb der Entwicklergruppe gab es jedoch Uneinigkeit, die nicht beigelegt werden konnte. Schließlich wurde das Projekt eingestellt, obwohl es im März 2018 von der IETF genehmigt wurde.
Ein weiterer Grund für die geringe Popularität von DANE ist die schwache Verbreitung von DNSSEC weltweit — Experten schätzen, dass dies nicht ausreicht, um DANE aktiv voranzubringen.
Die Branche wird sich wahrscheinlich in eine andere Richtung entwickeln. Anstatt DNS zur Überprüfung von SSL/TLS-Zertifikaten zu nutzen, werden Marktakteure vielmehr Protokolle wie DNS-over-TLS (DoT) und DNS-over-HTTPS (DoH) vorantreiben. Letzteres haben wir in einem unserer auf Habré erwähnt. Diese Protokolle verschlüsseln und verifizieren Anfragen der Benutzer an den DNS-Server, wodurch Angreifern die Möglichkeit genommen wird, die Daten zu manipulieren. Zu Beginn des Jahres hat Google DoT bereits für seinen Public DNS übernommen. Was DANE betrifft – ob die Technologie es schafft, wieder massentauglich zu werden, wird die Zukunft zeigen. in Google für seinen Public DNS. Ob DANE — die Technologie wieder Fuß fassen und populär werden kann, wird die Zukunft zeigen.
Was haben wir noch für weiterführende Lektüre:
![]()
![]()
![]()
![]()
![]()
![]()
![]()
Quelle: habr.com
