مراجع صدور گواهی (CAs) سازمان هایی هستند که درگیر هستند گواهی رمزنگاری گواهینامه های SSL. آنها امضای الکترونیکی خود را بر روی آنها گذاشتند و صحت آنها را تأیید کردند. با این حال، گاهی اوقات شرایطی ایجاد می شود که گواهینامه ها با تخلف صادر می شوند. به عنوان مثال، سال گذشته گوگل یک "رویه عدم اعتماد" را برای گواهینامه های سیمانتک به دلیل به خطر انداختن آنها آغاز کرد (ما این داستان را به طور مفصل در وبلاگ خود پوشش دادیم - زمان и два).
برای جلوگیری از چنین شرایطی، چندین سال پیش IETF شروع به توسعه کرد فناوری DANE (اما به طور گسترده در مرورگرها استفاده نمی شود - ما در مورد اینکه چرا این اتفاق افتاد بعداً صحبت خواهیم کرد).
DANE (بر اساس DNS Authentication of Named Entities) مجموعه ای از مشخصات است که به شما امکان می دهد از DNSSEC (Name System Security Extensions) برای کنترل اعتبار گواهی های SSL استفاده کنید. DNSSEC افزونه ای برای سیستم نام دامنه است که حملات جعل آدرس را به حداقل می رساند. با استفاده از این دو فناوری، یک وب مستر یا مشتری می تواند با یکی از اپراتورهای منطقه DNS تماس گرفته و اعتبار گواهی مورد استفاده را تأیید کند.
اساساً، DANE به عنوان یک گواهی خود امضا شده عمل می کند (ضامن قابلیت اطمینان آن DNSSEC است) و عملکردهای یک CA را تکمیل می کند.
چطور کار می کند؟
مشخصات DANE در شرح داده شده است RFC6698. بر اساس این سند، در سوابق منابع DNS یک نوع جدید اضافه شد - TLSA. این شامل اطلاعات مربوط به گواهی در حال انتقال، اندازه و نوع داده های در حال انتقال و همچنین خود داده است. مدیر وب سایت یک اثر انگشت دیجیتال از گواهی ایجاد می کند، آن را با DNSSEC امضا می کند و آن را در TLSA قرار می دهد.
مشتری به یک سایت در اینترنت متصل می شود و گواهی آن را با "کپی" دریافت شده از اپراتور DNS مقایسه می کند. اگر مطابقت داشته باشند، منبع مورد اعتماد در نظر گرفته می شود.
صفحه ویکی DANE مثال زیر را از یک درخواست DNS به example.org در پورت TCP 443 ارائه می دهد:
IN TLSA _443._tcp.example.org
پاسخ به این شکل است:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE چندین افزونه دارد که با رکوردهای DNS غیر از TLSA کار می کنند. اولین مورد، رکورد SSHFP DNS برای تأیید اعتبار کلیدهای اتصالات SSH است. در شرح داده شده است RFC4255, RFC6594 и RFC7479. دوم ورودی OPENPGPKEY برای تبادل کلید با استفاده از PGP (RFC7929). در نهایت، سومین رکورد SMIMEA است (استاندارد در RFC رسمی نشده است، وجود دارد فقط یک پیش نویس از آن) برای تبادل کلید رمزنگاری از طریق S/MIME.
مشکل DANE چیه
در اواسط ماه می، کنفرانس DNS-OARC برگزار شد (این یک سازمان غیرانتفاعی است که با امنیت، ثبات و توسعه سیستم نام دامنه سر و کار دارد). کارشناسان در یکی از پانل ها به نتیجه رسیدکه فناوری DANE در مرورگرها (حداقل در اجرای فعلی آن) شکست خورده است. حاضر در کنفرانس جف هیوستون، دانشمند برجسته تحقیقاتی آپنیک، یکی از پنج ثبت کننده اینترنت منطقه ای، پاسخ داد در مورد DANE به عنوان یک "فناوری مرده".
مرورگرهای محبوب از تأیید اعتبار گواهی با استفاده از DANE پشتیبانی نمی کنند. در فروشگاه پلاگین های خاصی وجود دارد، که عملکرد رکوردهای TLSA و همچنین پشتیبانی از آنها را نشان می دهد به تدریج متوقف شود.
مشکلات توزیع DANE در مرورگرها با طول فرآیند اعتبارسنجی DNSSEC مرتبط است. سیستم مجبور است محاسبات رمزنگاری را برای تأیید صحت گواهینامه SSL انجام دهد و هنگام اولین اتصال به یک منبع، کل زنجیره سرورهای DNS (از ناحیه ریشه تا دامنه میزبان) را طی کند.
موزیلا سعی کرد با استفاده از مکانیزم این اشکال را برطرف کند پسوند زنجیره ای DNSSEC برای TLS قرار بود تعداد رکوردهای DNS که کلاینت باید در حین احراز هویت جستجو می کرد، کاهش دهد. با این حال، اختلافاتی در داخل گروه توسعه ایجاد شد که قابل حل نبود. در نتیجه، این پروژه رها شد، اگرچه توسط IETF در مارس 2018 تأیید شد.
یکی دیگر از دلایل محبوبیت کم DANE، شیوع کم DNSSEC در جهان است - تنها 19 درصد از منابع با آن کار می کنند. کارشناسان احساس کردند که این برای تبلیغ فعالانه DANE کافی نیست.
به احتمال زیاد، صنعت در جهت دیگری توسعه خواهد یافت. به جای استفاده از DNS برای تأیید گواهیهای SSL/TLS، بازیگران بازار پروتکلهای DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH) را تبلیغ میکنند. ما به مورد دوم در یکی از مطالب خود اشاره کردیم مواد قبلی در هابره آنها درخواست های کاربر به سرور DNS را رمزگذاری و تأیید می کنند و از جعل اطلاعات توسط مهاجمان جلوگیری می کنند. در ابتدای سال، DoT قبلاً وجود داشت اجرا شد به Google برای DNS عمومی خود. در مورد DANE، اینکه آیا این فناوری میتواند «به زین بازگردد» و همچنان گسترده شود، باید در آینده مشخص شود.