ما در مورد اینکه فناوری DANE برای احراز هویت نام دامنه با استفاده از DNS چیست و چرا به طور گسترده در مرورگرها استفاده نمی شود صحبت می کنیم.
/Unsplash/
DANE چیست
مراجع صدور گواهی (CAs) سازمان هایی هستند که گواهی رمزنگاری . آنها امضای الکترونیکی خود را بر روی آنها گذاشتند و صحت آنها را تأیید کردند. با این حال، گاهی اوقات شرایطی ایجاد می شود که گواهینامه ها با تخلف صادر می شوند. به عنوان مثال، سال گذشته گوگل یک "رویه عدم اعتماد" را برای گواهینامه های سیمانتک به دلیل به خطر انداختن آنها آغاز کرد (ما این داستان را به طور مفصل در وبلاگ خود پوشش دادیم - и ).
برای جلوگیری از چنین شرایطی، چندین سال پیش IETF فناوری DANE (اما به طور گسترده در مرورگرها استفاده نمی شود - ما در مورد اینکه چرا این اتفاق افتاد بعداً صحبت خواهیم کرد).
DANE (بر اساس DNS Authentication of Named Entities) مجموعه ای از مشخصات است که به شما امکان می دهد از DNSSEC (Name System Security Extensions) برای کنترل اعتبار گواهی های SSL استفاده کنید. DNSSEC افزونه ای برای سیستم نام دامنه است که حملات جعل آدرس را به حداقل می رساند. با استفاده از این دو فناوری، یک وب مستر یا مشتری می تواند با یکی از اپراتورهای منطقه DNS تماس گرفته و اعتبار گواهی مورد استفاده را تأیید کند.
اساساً، DANE به عنوان یک گواهی خود امضا شده عمل می کند (ضامن قابلیت اطمینان آن DNSSEC است) و عملکردهای یک CA را تکمیل می کند.
چطور کار می کند؟
مشخصات DANE در شرح داده شده است . بر اساس این سند، در یک نوع جدید اضافه شد - TLSA. این شامل اطلاعات مربوط به گواهی در حال انتقال، اندازه و نوع داده های در حال انتقال و همچنین خود داده است. مدیر وب سایت یک اثر انگشت دیجیتال از گواهی ایجاد می کند، آن را با DNSSEC امضا می کند و آن را در TLSA قرار می دهد.
مشتری به یک سایت در اینترنت متصل می شود و گواهی آن را با "کپی" دریافت شده از اپراتور DNS مقایسه می کند. اگر مطابقت داشته باشند، منبع مورد اعتماد در نظر گرفته می شود.
صفحه ویکی DANE مثال زیر را از یک درخواست DNS به example.org در پورت TCP 443 ارائه می دهد:
IN TLSA _443._tcp.example.orgپاسخ به این شکل است:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE چندین افزونه دارد که با رکوردهای DNS غیر از TLSA کار می کنند. اولین مورد، رکورد SSHFP DNS برای تأیید اعتبار کلیدهای اتصالات SSH است. در شرح داده شده است , и . دوم ورودی OPENPGPKEY برای تبادل کلید با استفاده از PGP (). در نهایت، سومین رکورد SMIMEA است (استاندارد در RFC رسمی نشده است، وجود دارد ) برای تبادل کلید رمزنگاری از طریق S/MIME.
مشکل DANE چیه
در اواسط ماه می، کنفرانس DNS-OARC برگزار شد (این یک سازمان غیرانتفاعی است که با امنیت، ثبات و توسعه سیستم نام دامنه سر و کار دارد). کارشناسان در یکی از پانل ها که فناوری DANE در مرورگرها (حداقل در اجرای فعلی آن) شکست خورده است. حاضر در کنفرانس جف هیوستون، دانشمند برجسته تحقیقاتی ، یکی از پنج ثبت کننده اینترنت منطقه ای، در مورد DANE به عنوان یک "فناوری مرده".
مرورگرهای محبوب از تأیید اعتبار گواهی با استفاده از DANE پشتیبانی نمی کنند. در فروشگاه ، که عملکرد رکوردهای TLSA و همچنین پشتیبانی از آنها را نشان می دهد .
مشکلات توزیع DANE در مرورگرها با طول فرآیند اعتبارسنجی DNSSEC مرتبط است. سیستم مجبور است محاسبات رمزنگاری را برای تأیید صحت گواهینامه SSL انجام دهد و هنگام اولین اتصال به یک منبع، کل زنجیره سرورهای DNS (از ناحیه ریشه تا دامنه میزبان) را طی کند.
/Unsplash/
موزیلا سعی کرد با استفاده از مکانیزم این اشکال را برطرف کند برای TLS قرار بود تعداد رکوردهای DNS که کلاینت باید در حین احراز هویت جستجو می کرد، کاهش دهد. با این حال، اختلافاتی در داخل گروه توسعه ایجاد شد که قابل حل نبود. در نتیجه، این پروژه رها شد، اگرچه توسط IETF در مارس 2018 تأیید شد.
یکی دیگر از دلایل محبوبیت کم DANE، شیوع کم DNSSEC در جهان است - . کارشناسان احساس کردند که این برای تبلیغ فعالانه DANE کافی نیست.
به احتمال زیاد، صنعت در جهت دیگری توسعه خواهد یافت. به جای استفاده از DNS برای تأیید گواهیهای SSL/TLS، بازیگران بازار پروتکلهای DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH) را تبلیغ میکنند. ما به مورد دوم در یکی از مطالب خود اشاره کردیم در هابره آنها درخواست های کاربر به سرور DNS را رمزگذاری و تأیید می کنند و از جعل اطلاعات توسط مهاجمان جلوگیری می کنند. در ابتدای سال، DoT قبلاً وجود داشت به Google برای DNS عمومی خود. در مورد DANE، اینکه آیا این فناوری میتواند «به زین بازگردد» و همچنان گسترده شود، باید در آینده مشخص شود.
چه چیز دیگری برای مطالعه بیشتر داریم:
منبع: www.habr.com