Räägime sellest, mis on DANE tehnoloogia DNS-i abil domeeninimede autentimiseks ja miks seda brauserites laialdaselt ei kasutata.
/Unsplash/
Mis on DANE
Sertifitseerimisasutused (CA) on organisatsioonid, mis krüptograafiline sertifikaat . Nad panid neile oma elektroonilise allkirja, kinnitades nende autentsust. Mõnikord tuleb aga ette olukordi, kui väljastatakse rikkumistega tõendeid. Näiteks eelmisel aastal algatas Google Symanteci sertifikaatide "umbusaldamise menetluse" nende kompromissi tõttu (käsitlesime seda lugu üksikasjalikult oma ajaveebis - и ).
Selliste olukordade vältimiseks tegi IETF mitu aastat tagasi DANE tehnoloogia (kuid seda brauserites laialdaselt ei kasutata - sellest, miks see juhtus, räägime hiljem).
DANE (Nimetatud olemite DNS-põhine autentimine) on spetsifikatsioonide kogum, mis võimaldab kasutada DNSSEC-i (Name System Security Extensions) SSL-sertifikaatide kehtivuse kontrollimiseks. DNSSEC on domeeninimede süsteemi laiendus, mis minimeerib aadresside võltsimise rünnakuid. Neid kahte tehnoloogiat kasutades saab veebihaldur või klient ühendust võtta ühe DNS-tsooni operaatoritega ja kinnitada kasutatava sertifikaadi kehtivust.
Põhimõtteliselt toimib DANE iseallkirjastatud sertifikaadina (selle töökindluse tagatiseks on DNSSEC) ja täiendab CA funktsioone.
Kuidas see töötab
DANE spetsifikatsiooni on kirjeldatud artiklis . Dokumendi järgi in lisandus uus tüüp - TLSA. See sisaldab teavet ülekantava sertifikaadi, edastatavate andmete suuruse ja tüübi ning andmete endi kohta. Veebihaldur loob sertifikaadi digitaalse pöidlajälje, allkirjastab selle DNSSEC-iga ja asetab selle TLSA-sse.
Klient loob ühenduse Internetis oleva saidiga ja võrdleb selle sertifikaati DNS-i operaatorilt saadud koopiaga. Kui need ühtivad, loetakse ressurss usaldusväärseks.
DANE wiki leht pakub järgmist DNS-päringu näidet aadressile example.org TCP-pordis 443:
IN TLSA _443._tcp.example.orgVastus näeb välja selline:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE-l on mitu laiendust, mis töötavad muude DNS-kirjetega peale TLSA. Esimene on SSHFP DNS-kirje SSH-ühenduste võtmete kinnitamiseks. Seda on kirjeldatud aastal , и . Teine on kirje OPENPGPKEY võtme vahetamiseks PGP (). Lõpuks, kolmas on SMIMEA-kirje (standard pole RFC-s vormistatud, see on olemas ) krüptograafilise võtme vahetamiseks S/MIME kaudu.
Mis on DANE probleem
Mai keskel toimus DNS-OARC konverents (see on mittetulundusühing, mis tegeleb domeeninimesüsteemi turvalisuse, stabiilsuse ja arendamisega). Eksperdid ühel paneelil et DANE tehnoloogia brauserites on ebaõnnestunud (vähemalt selle praeguses teostuses). Esineb konverentsil Geoff Huston, juhtiv teadlane , üks viiest piirkondlikust Interneti-registripidajast, DANE-st kui "surnud tehnoloogiast".
Populaarsed brauserid ei toeta sertifikaadi autentimist DANE abil. Turul , mis paljastavad TLSA-kirjete funktsionaalsuse, aga ka nende toe .
Probleemid DANE levitamisega brauserites on seotud DNSSEC-i valideerimisprotsessi pikkusega. Süsteem on sunnitud esmakordsel ressursiga ühenduse loomisel tegema krüptograafilisi arvutusi SSL-sertifikaadi autentsuse kinnitamiseks ja läbima kogu DNS-serverite ahela (juurtest kuni hosti domeenini).
/Unsplash/
Mozilla püüdis selle puuduse mehhanismi abil kõrvaldada TLS-i jaoks. See pidi vähendama DNS-kirjete arvu, mida klient pidi autentimise ajal otsima. Arendusgrupi sees tekkisid aga erimeelsused, mida ei suudetud lahendada. Selle tulemusena projektist loobuti, kuigi IETF kiitis selle heaks 2018. aasta märtsis.
Teine DANE vähese populaarsuse põhjus on DNSSEC-i madal levimus maailmas - . Eksperdid leidsid, et sellest ei piisa DANE aktiivseks reklaamimiseks.
Tõenäoliselt areneb tööstus teises suunas. Selle asemel, et kasutada DNS-i SSL/TLS-sertifikaatide kontrollimiseks, reklaamivad turuosalised selle asemel DNS-over-TLS (DoT) ja DNS-over-HTTPS (DoH) protokolle. Viimast mainisime ühes oma Habré kohta. Need krüpteerivad ja kontrollivad kasutajate päringuid DNS-serverile, vältides ründajatel andmete võltsimist. Aasta alguses oli DoT juba Google'ile avaliku DNS-i jaoks. Mis puutub DANE-sse, siis seda, kas tehnoloogia suudab "sadulasse tagasi saada" ja ikkagi laialt levima, jääb tulevikus näha.
Mis meil veel lugemiseks on:
Allikas: www.habr.com