Ni parolas pri kio DANE-teknologio estas por aŭtentikigi domajnajn nomojn uzante DNS kaj kial ĝi ne estas vaste uzata en retumiloj.
/Malŝprucigi/
Kio estas DANE
Atestadaj Aŭtoritatoj (CAs) estas organizoj kiuj kriptografika atestilo . Ili metis sian elektronikan subskribon sur ilin, konfirmante ilian aŭtentecon. Tamen, foje okazas situacioj kiam atestiloj estas emisiitaj kun malobservoj. Ekzemple, pasintjare Guglo iniciatis "malfidan proceduron" por Symantec-atestiloj pro ilia kompromiso (ni priskribis ĉi tiun historion detale en nia blogo - и ).
Por eviti tiajn situaciojn, antaŭ kelkaj jaroj la IETF DANE-teknologio (sed ĝi ne estas vaste uzata en retumiloj - ni parolos pri kial tio okazis poste).
DANE (DNS-bazita Authentication of Named Entities) estas aro de specifoj, kiuj ebligas al vi uzi DNSSEC (Name System Security Extensions) por kontroli la validecon de SSL-atestiloj. DNSSEC estas etendaĵo al la Domajna Noma Sistemo, kiu minimumigas atakojn pri adreso. Uzante ĉi tiujn du teknologiojn, retejestro aŭ kliento povas kontakti unu el la DNS-zonaj funkciigistoj kaj konfirmi la validecon de la uzata atestilo.
Esence, DANE funkcias kiel memsubskribita atestilo (la garantianto de ĝia fidindeco estas DNSSEC) kaj kompletigas la funkciojn de CA.
Kiel tio funkcias
La DANE-specifo estas priskribita en . Laŭ la dokumento, en nova tipo estis aldonita - TLSA. Ĝi enhavas informojn pri la transdono de atestilo, la grandeco kaj speco de datumoj translokigitaj, same kiel la datumoj mem. La retejestro kreas ciferecan dikfingrospuron de la atestilo, subskribas ĝin per DNSSEC kaj metas ĝin en la TLSA.
La kliento konektas al retejo en la Interreto kaj komparas ĝian atestilon kun la "kopio" ricevita de la DNS-funkciigisto. Se ili kongruas, tiam la rimedo estas konsiderata fidinda.
La vikipaĝo de DANE provizas la sekvan ekzemplon de DNS-peto al example.org sur TCP-haveno 443:
IN TLSA _443._tcp.example.orgLa respondo aspektas jene:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE havas plurajn etendaĵojn kiuj funkcias kun DNS-rekordoj krom TLSA. La unua estas la SSHFP DNS-rekordo por validigi ŝlosilojn sur SSH-konektoj. Ĝi estas priskribita en , и . La dua estas la eniro OPENPGPKEY por ŝlosilŝanĝo uzante PGP (). Fine, la tria estas la SMIMEA-rekordo (la normo ne estas formaligita en la RFC, ekzistas ) por ĉifrika ŝlosilŝanĝo per S/MIME.
Kio estas la problemo kun DANE
Meze de majo okazis la konferenco DNS-OARC (tio estas senprofita organizaĵo, kiu okupiĝas pri sekureco, stabileco kaj disvolviĝo de la domajna nomo sistemo). Fakuloj pri unu el la paneloj ke DANE-teknologio en retumiloj malsukcesis (almenaŭ en ĝia nuna efektivigo). Ĉeestas ĉe la konferenco Geoff Huston, Ĉefa Esplora Sciencisto , unu el kvin regionaj interretaj registriloj, pri DANE kiel "mortinta teknologio".
Popularaj retumiloj ne subtenas atestilon per DANE. Sur la merkato , kiuj rivelas la funkciecon de TLSA-rekordoj, sed ankaŭ ilian subtenon .
Problemoj kun DANE-distribuo en retumiloj estas rilataj al la longeco de la DNSSEC-validadprocezo. La sistemo estas devigita fari kriptografiajn kalkulojn por konfirmi la aŭtentikecon de la SSL-atestilo kaj trairi la tutan ĉenon de DNS-serviloj (de la radika zono ĝis la gastiga domajno) kiam unue ligiĝas al rimedo.
/Malŝprucigi/
Mozilla provis forigi ĉi tiun malavantaĝon uzante la mekanismon por TLS. Ĝi devis redukti la nombron da DNS-rekordoj, kiujn la kliento devis serĉi dum aŭtentigo. Tamen, malkonsentoj ekestis ene de la evolugrupo kiuj ne povus esti solvitaj. Kiel rezulto, la projekto estis prirezignita, kvankam ĝi estis aprobita fare de la IETF en marto 2018.
Alia kialo de la malalta populareco de DANE estas la malalta tropezo de DNSSEC en la mondo - . Fakuloj opiniis, ke tio ne sufiĉas por aktive promocii DANE.
Plej verŝajne, la industrio disvolviĝos en malsama direkto. Anstataŭ uzi DNS por kontroli SSL/TLS-atestilojn, merkataj ludantoj anstataŭe reklamos protokolojn DNS-over-TLS (DoT) kaj DNS-over-HTTPS (DoH). La lastan ni menciis en unu el niaj sur Habré. Ili ĉifras kaj kontrolas uzantpetojn al la DNS-servilo, malhelpante atakantojn falsi datumojn. Komence de la jaro, DoT jam estis al Guglo por ĝia Publika DNS. Koncerne DANE, ĉu la teknologio povos "reveni en la selon" kaj ankoraŭ disvastigi, restas por vidi estonte.
Kion alian ni havas por plua legado:
fonto: www.habr.com