Μιλάμε για το τι είναι η τεχνολογία DANE για τον έλεγχο ταυτότητας ονομάτων τομέα χρησιμοποιώντας DNS και γιατί δεν χρησιμοποιείται ευρέως σε προγράμματα περιήγησης.
/Unsplash/
Τι είναι DANE
Οι Αρχές Πιστοποίησης (CA) είναι οργανισμοί που κρυπτογραφικό πιστοποιητικό . Τους έβαλαν την ηλεκτρονική τους υπογραφή, επιβεβαιώνοντας τη γνησιότητά τους. Ωστόσο, μερικές φορές προκύπτουν καταστάσεις όταν τα πιστοποιητικά εκδίδονται με παραβάσεις. Για παράδειγμα, πέρυσι η Google κίνησε μια «διαδικασία αδυναμίας εμπιστοσύνης» για τα πιστοποιητικά της Symantec λόγω του συμβιβασμού τους (καλύψαμε αυτήν την ιστορία λεπτομερώς στο ιστολόγιό μας - и ).
Για να αποφευχθούν τέτοιες καταστάσεις, πριν από αρκετά χρόνια το IETF Τεχνολογία DANE (αλλά δεν χρησιμοποιείται ευρέως σε προγράμματα περιήγησης - θα μιλήσουμε για το γιατί συνέβη αργότερα).
Το DANE (DNS-based Authentication of Named Entities) είναι ένα σύνολο προδιαγραφών που σας επιτρέπει να χρησιμοποιείτε το DNSSEC (Name System Security Extensions) για τον έλεγχο της εγκυρότητας των πιστοποιητικών SSL. Το DNSSEC είναι μια επέκταση του συστήματος ονομάτων τομέα που ελαχιστοποιεί τις επιθέσεις πλαστογράφησης διευθύνσεων. Χρησιμοποιώντας αυτές τις δύο τεχνολογίες, ένας webmaster ή ένας πελάτης μπορεί να επικοινωνήσει με έναν από τους χειριστές της ζώνης DNS και να επιβεβαιώσει την εγκυρότητα του πιστοποιητικού που χρησιμοποιείται.
Ουσιαστικά, το DANE λειτουργεί ως αυτο-υπογεγραμμένο πιστοποιητικό (ο εγγυητής της αξιοπιστίας του είναι το DNSSEC) και συμπληρώνει τις λειτουργίες μιας ΑΠ.
Πώς λειτουργεί;
Η προδιαγραφή DANE περιγράφεται στο . Σύμφωνα με το έγγραφο, στο προστέθηκε ένας νέος τύπος - TLSA. Περιέχει πληροφορίες σχετικά με το πιστοποιητικό που μεταφέρεται, το μέγεθος και τον τύπο των δεδομένων που μεταφέρονται, καθώς και τα ίδια τα δεδομένα. Ο webmaster δημιουργεί ένα ψηφιακό αποτύπωμα του πιστοποιητικού, το υπογράφει με το DNSSEC και το τοποθετεί στο TLSA.
Ο πελάτης συνδέεται σε έναν ιστότοπο στο Διαδίκτυο και συγκρίνει το πιστοποιητικό του με το "αντίγραφο" που έλαβε από τον χειριστή DNS. Εάν ταιριάζουν, τότε ο πόρος θεωρείται αξιόπιστος.
Η σελίδα wiki DANE παρέχει το ακόλουθο παράδειγμα αιτήματος DNS στο example.org στη θύρα TCP 443:
IN TLSA _443._tcp.example.orgΗ απάντηση μοιάζει με αυτό:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
Το DANE έχει πολλές επεκτάσεις που λειτουργούν με εγγραφές DNS εκτός από το TLSA. Το πρώτο είναι η εγγραφή SSHFP DNS για την επικύρωση κλειδιών στις συνδέσεις SSH. Περιγράφεται στο , и . Η δεύτερη είναι η καταχώρηση OPENPGPKEY για ανταλλαγή κλειδιών με χρήση PGP (). Τέλος, το τρίτο είναι το ρεκόρ SMIMEA (το πρότυπο δεν είναι επισημοποιημένο στο RFC, υπάρχει ) για ανταλλαγή κρυπτογραφικών κλειδιών μέσω S/MIME.
Ποιο είναι το πρόβλημα με τον DANE
Στα μέσα Μαΐου πραγματοποιήθηκε το συνέδριο DNS-OARC (πρόκειται για έναν μη κερδοσκοπικό οργανισμό που ασχολείται με την ασφάλεια, τη σταθερότητα και την ανάπτυξη του συστήματος ονομάτων τομέα). Ειδικοί σε ένα από τα πάνελ ότι η τεχνολογία DANE στα προγράμματα περιήγησης έχει αποτύχει (τουλάχιστον στην τρέχουσα εφαρμογή της). Παρών στο συνέδριο Geoff Huston, Leading Research Scientist , ένας από τους πέντε περιφερειακούς καταχωρητές Διαδικτύου, για το DANE ως «νεκρή τεχνολογία».
Τα δημοφιλή προγράμματα περιήγησης δεν υποστηρίζουν έλεγχο ταυτότητας πιστοποιητικού με χρήση DANE. Στην αγορά , που αποκαλύπτουν τη λειτουργικότητα των εγγραφών TLSA, αλλά και την υποστήριξή τους .
Τα προβλήματα με τη διανομή DANE στα προγράμματα περιήγησης σχετίζονται με τη διάρκεια της διαδικασίας επικύρωσης DNSSEC. Το σύστημα αναγκάζεται να κάνει κρυπτογραφικούς υπολογισμούς για να επιβεβαιώσει την αυθεντικότητα του πιστοποιητικού SSL και να περάσει από ολόκληρη την αλυσίδα των διακομιστών DNS (από τη ριζική ζώνη στον κεντρικό τομέα) κατά την πρώτη σύνδεση σε έναν πόρο.
/Unsplash/
Η Mozilla προσπάθησε να εξαλείψει αυτό το μειονέκτημα χρησιμοποιώντας τον μηχανισμό για TLS. Υποτίθεται ότι θα μείωνε τον αριθμό των εγγραφών DNS που έπρεπε να αναζητήσει ο πελάτης κατά τον έλεγχο ταυτότητας. Ωστόσο, προέκυψαν διαφωνίες εντός της ομάδας ανάπτυξης που δεν μπόρεσαν να επιλυθούν. Ως αποτέλεσμα, το έργο εγκαταλείφθηκε, αν και εγκρίθηκε από το IETF τον Μάρτιο του 2018.
Ένας άλλος λόγος για τη χαμηλή δημοτικότητα του DANE είναι ο χαμηλός επιπολασμός του DNSSEC στον κόσμο - . Οι ειδικοί θεώρησαν ότι αυτό δεν ήταν αρκετό για την ενεργή προώθηση του DANE.
Το πιθανότερο είναι ότι ο κλάδος θα αναπτυχθεί σε διαφορετική κατεύθυνση. Αντί να χρησιμοποιούν DNS για την επαλήθευση πιστοποιητικών SSL/TLS, οι παίκτες της αγοράς θα προωθούν πρωτόκολλα DNS-over-TLS (DoT) και DNS-over-HTTPS (DoH). Το τελευταίο το αναφέραμε σε ένα μας στο Habré. Κρυπτογραφούν και επαληθεύουν τα αιτήματα των χρηστών στον διακομιστή DNS, αποτρέποντας τους εισβολείς από την πλαστογράφηση δεδομένων. Στις αρχές του έτους, το DoT ήταν ήδη στην Google για το δημόσιο DNS της. Όσον αφορά το DANE, το αν η τεχνολογία θα μπορέσει να «ξαναμπώσει στη σέλα» και να γίνει ευρέως διαδεδομένη μένει να φανεί στο μέλλον.
Τι άλλο έχουμε για περαιτέρω ανάγνωση:
Πηγή: www.habr.com