Certification Authorities (CA:t) ovat organisaatioita, jotka ovat kihloissa salaussertifikaatti SSL-sertifikaatit. He laittoivat niihin sähköisen allekirjoituksensa ja vahvistavat niiden aitouden. Joskus kuitenkin syntyy tilanteita, kun varmenteita myönnetään rikkomuksilla. Esimerkiksi viime vuonna Google aloitti Symantec-varmenteille "luottamusmenettelyn" niiden kompromissin vuoksi (käsittelimme tätä tarinaa yksityiskohtaisesti blogissamme - aika и два).
Tällaisten tilanteiden välttämiseksi useita vuosia sitten IETF alkoi kehittyä DANE-tekniikka (mutta sitä ei käytetä laajasti selaimissa - puhumme siitä, miksi tämä tapahtui myöhemmin).
DANE (DNS-based Authentication of Named Entities) on joukko määrityksiä, joiden avulla voit käyttää DNSSEC:iä (Name System Security Extensions) SSL-varmenteiden voimassaolon hallintaan. DNSSEC on Domain Name Systemin laajennus, joka minimoi osoitehuijaushyökkäykset. Näitä kahta tekniikkaa käyttämällä verkkovastaava tai asiakas voi ottaa yhteyttä johonkin DNS-vyöhykkeen operaattoriin ja vahvistaa käytetyn varmenteen kelpoisuuden.
Pohjimmiltaan DANE toimii itse allekirjoitettuna varmenteena (sen luotettavuuden takaajana on DNSSEC) ja täydentää CA:n toimintoja.
Kuinka tämä toimii
DANE-spesifikaatio on kuvattu kohdassa RFC6698. Asiakirjan mukaan vuonna DNS-resurssitietueet uusi tyyppi lisättiin - TLSA. Se sisältää tiedot siirrettävästä varmenteesta, siirrettävien tietojen koosta ja tyypistä sekä itse tiedoista. Verkkovastaava luo sertifikaatista digitaalisen peukalonjäljen, allekirjoittaa sen DNSSEC:llä ja sijoittaa sen TLSA:han.
Asiakas muodostaa yhteyden Internetissä olevaan sivustoon ja vertaa sen varmennetta DNS-operaattorilta saatuun "kopioon". Jos ne täsmäävät, resurssia pidetään luotettavana.
DANE-wikisivu tarjoaa seuraavan esimerkin DNS-pyynnöstä example.org:lle TCP-portissa 443:
IN TLSA _443._tcp.example.org
Vastaus näyttää tältä:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANElla on useita laajennuksia, jotka toimivat muiden DNS-tietueiden kuin TLSA:n kanssa. Ensimmäinen on SSHFP DNS-tietue SSH-yhteyksien avainten vahvistamiseksi. Se on kuvattu kohdassa RFC4255, RFC6594 и RFC7479. Toinen on OPENPGPKEY-merkintä avainten vaihtoon PGP:n avulla (RFC7929). Lopuksi kolmas on SMIMEA-tietue (standardia ei ole virallistettu RFC: ssä, se on vain luonnos siitä) salausavainten vaihtoon S/MIME:n kautta.
Mikä DANEa vaivaa?
Toukokuun puolivälissä pidettiin DNS-OARC-konferenssi (tämä on voittoa tavoittelematon organisaatio, joka käsittelee verkkotunnusjärjestelmän turvallisuutta, vakautta ja kehittämistä). Asiantuntijat yhdessä paneelissa tuli johtopäätökseenettä DANE-tekniikka selaimissa on epäonnistunut (ainakin nykyisessä toteutuksessaan). Konferenssissa Geoff Huston, johtava tutkija APNIC, yksi viidestä alueellisesta Internet-rekisteröijästä, vastasi DANEsta "kuolleena teknologiana".
DANE-jakelun ongelmat selaimissa liittyvät DNSSEC-tarkistusprosessin pituuteen. Järjestelmän on pakko tehdä salauslaskelmia SSL-varmenteen aitouden varmistamiseksi ja käydä läpi koko DNS-palvelinketju (juurialueelta isäntäverkkoalueelle), kun se muodostaa ensimmäisen yhteyden resurssiin.
Mozilla yritti poistaa tämän epäkohdan mekanismin avulla DNSSEC-ketjun laajennus TLS:lle. Sen piti vähentää DNS-tietueiden määrää, joita asiakkaan oli etsittävä todennuksen aikana. Kehitysryhmän sisällä syntyi kuitenkin erimielisyyksiä, joita ei voitu ratkaista. Tämän seurauksena projekti hylättiin, vaikka IETF hyväksyi sen maaliskuussa 2018.
Toinen syy DANE:n alhaiseen suosioon on DNSSEC:n alhainen esiintyvyys maailmassa - vain 19 % resursseista toimii sen kanssa. Asiantuntijat katsoivat, että tämä ei riittänyt DANE:n aktiiviseen edistämiseen.
Todennäköisesti ala kehittyy toiseen suuntaan. Sen sijaan, että käyttäisivät DNS:ää SSL/TLS-varmenteiden tarkistamiseen, markkinatoimijat mainostavat DNS-over-TLS (DoT)- ja DNS-over-HTTPS (DoH) -protokollia. Mainitsimme jälkimmäisen yhdessä meidän aikaisemmat materiaalit Habrella. Ne salaavat ja vahvistavat käyttäjien DNS-palvelimelle lähetetyt pyynnöt estäen hyökkääjiä huijaamasta tietoja. Vuoden alussa DoT oli jo toteutettu Googlelle julkisen DNS:n vuoksi. Mitä tulee DANEen, tuleeko teknologia "palaamaan satulaan" ja leviämään siitä edelleen laajalti, jää nähtäväksi tulevaisuudessa.