Ziurtapen Agintaritzak (CA) erakundeak dira arduratzen dira ziurtagiri kriptografikoa SSL ziurtagiriak. Euren sinadura elektronikoa jarri zieten, haien benetakotasuna baieztatuz. Hala ere, batzuetan egoerak sortzen dira ziurtagiriak arau-hausteekin ematen direnean. Esaterako, iaz Google-k Symantec-en ziurtagirietarako "deskonfiantza-prozedura" hasi zuen haien konpromisoa dela eta (istorio hau zehatz-mehatz landu dugu gure blogean - denbora ΠΈ Π΄Π²Π°).
Horrelako egoerak saihesteko, duela urte batzuk IETFk garatzen hasi zen DANE teknologia (baina ez da oso erabilia nabigatzaileetan - geroago hitz egingo dugu zergatik gertatu den).
DANE (DNS-en oinarritutako Authentication of Named Entities) DNSSEC (Name System Security Extensions) erabiltzeko aukera ematen duen zehaztapen multzo bat da, SSL ziurtagirien baliozkotasuna kontrolatzeko. DNSSEC helbideak faltifikatzeko erasoak gutxitzen dituen Domeinu Izen Sistemarako luzapena da. Bi teknologia hauek erabiliz, web-arduradun edo bezero batek DNS guneko operadoreetako batekin harremanetan jar daiteke eta erabiltzen ari den ziurtagiriaren baliozkotasuna berretsi.
Funtsean, DANEk autosinatutako ziurtagiri gisa jokatzen du (bere fidagarritasunaren bermea DNSSEC da) eta CA baten funtzioak osatzen ditu.
Nola egiten du lan
DANE zehaztapena atalean deskribatzen da RFC6698. Dokumentuaren arabera, urtean DNS baliabideen erregistroak mota berri bat gehitu zen - TLSA. Transferitzen ari den ziurtagiriari, transferitzen diren datuen tamainari eta motari buruzko informazioa jasotzen du, baita datuak bera ere. Web-arduradunak ziurtagiriaren aztarna digitala sortzen du, DNSSEC-ekin sinatzen du eta TLSAn jartzen du.
Bezeroa Interneteko gune batera konektatzen da eta bere ziurtagiria DNS operadorearengandik jasotako "kopiarekin" konparatzen du. Bat badatoz, baliabidea fidagarritzat jotzen da.
DANE wiki orriak DNS eskaeraren adibide hau eskaintzen du example.org-i TCP 443 atakan:
IN TLSA _443._tcp.example.org
Erantzuna honelakoa da:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANEk TLSA ez den DNS erregistroekin funtzionatzen duten hainbat luzapen ditu. Lehenengoa SSHFP DNS erregistroa da SSH konexioetan gakoak balioztatzeko. urtean deskribatzen da RFC4255, RFC6594 ΠΈ RFC7479. Bigarrena OPENPGPKEY sarrera da PGP erabiliz gakoak trukatzeko (RFC7929). Azkenik, hirugarrena SMIMEA erregistroa da (estandarra ez dago RFCan formalizatuta, badago horren zirriborro bat baino ez) S/MIME bidez gako kriptografikoak trukatzeko.
Zein da DANEren arazoa
Maiatzaren erdialdean DNS-OARC jardunaldia egin zen (domeinu-izen sistemaren segurtasuna, egonkortasuna eta garapena lantzen dituen irabazi asmorik gabeko erakundea da). Paneletako batean adituak ondoriora iritsi zennabigatzaileetan DANE teknologiak huts egin duela (egungo inplementazioan behintzat). Geoff Huston hitzaldian aurkeztu da, Ikerketa Zientzialari Nagusia APnic, Interneteko eskualdeko bost erregistratzaileetako bat, erantzun zuen DANEri buruz βhildako teknologiaβ gisa.
Arakatzaile ezagunek ez dute onartzen DANE erabiliz ziurtagirien autentifikazioa. Merkatuan plugin bereziak daude, TLSA erregistroen funtzionaltasuna agerian uzten dutenak, baina baita haien euskarria ere pixkanaka gelditu.
Arakatzaileetan DANE banaketaren arazoak DNSSEC baliozkotze-prozesuaren iraupenarekin lotuta daude. Sistema kalkulu kriptografikoak egitera behartuta dago SSL ziurtagiriaren benetakotasuna berresteko eta DNS zerbitzarien kate osoa zeharkatu (errotik hasi eta ostalariaren domeinuraino) baliabide batera lehen aldiz konektatzean.
Mozilla eragozpen hori kentzen saiatu zen mekanismoa erabiliz DNSSEC katearen luzapena TLSrako. Bezeroak autentifikazioan bilatu behar zituen DNS erregistroen kopurua murriztu behar zen. Hala ere, garapen-taldearen baitan desadostasunak sortu ziren, konpondu ezin izan zirenak. Ondorioz, proiektua bertan behera geratu zen, IETFk 2018ko martxoan onartu zuen arren.