Puhumme siitä, mitä DANE-tekniikka on verkkotunnusten todentamiseen DNS:n avulla ja miksi sitä ei käytetä laajasti selaimissa.
/Unsplash/
Mikä on DANE
Certification Authorities (CA:t) ovat organisaatioita, jotka salaussertifikaatti . He laittoivat niihin sähköisen allekirjoituksensa ja vahvistavat niiden aitouden. Joskus kuitenkin syntyy tilanteita, kun varmenteita myönnetään rikkomuksilla. Esimerkiksi viime vuonna Google aloitti Symantec-varmenteille "luottamusmenettelyn" niiden kompromissin vuoksi (käsittelimme tätä tarinaa yksityiskohtaisesti blogissamme - и ).
Tällaisten tilanteiden välttämiseksi useita vuosia sitten IETF DANE-tekniikka (mutta sitä ei käytetä laajasti selaimissa - puhumme siitä, miksi tämä tapahtui myöhemmin).
DANE (DNS-based Authentication of Named Entities) on joukko määrityksiä, joiden avulla voit käyttää DNSSEC:iä (Name System Security Extensions) SSL-varmenteiden voimassaolon hallintaan. DNSSEC on Domain Name Systemin laajennus, joka minimoi osoitehuijaushyökkäykset. Näitä kahta tekniikkaa käyttämällä verkkovastaava tai asiakas voi ottaa yhteyttä johonkin DNS-vyöhykkeen operaattoriin ja vahvistaa käytetyn varmenteen kelpoisuuden.
Pohjimmiltaan DANE toimii itse allekirjoitettuna varmenteena (sen luotettavuuden takaajana on DNSSEC) ja täydentää CA:n toimintoja.
Kuinka tämä toimii
DANE-spesifikaatio on kuvattu kohdassa . Asiakirjan mukaan vuonna uusi tyyppi lisättiin - TLSA. Se sisältää tiedot siirrettävästä varmenteesta, siirrettävien tietojen koosta ja tyypistä sekä itse tiedoista. Verkkovastaava luo sertifikaatista digitaalisen peukalonjäljen, allekirjoittaa sen DNSSEC:llä ja sijoittaa sen TLSA:han.
Asiakas muodostaa yhteyden Internetissä olevaan sivustoon ja vertaa sen varmennetta DNS-operaattorilta saatuun "kopioon". Jos ne täsmäävät, resurssia pidetään luotettavana.
DANE-wikisivu tarjoaa seuraavan esimerkin DNS-pyynnöstä example.org:lle TCP-portissa 443:
IN TLSA _443._tcp.example.orgVastaus näyttää tältä:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANElla on useita laajennuksia, jotka toimivat muiden DNS-tietueiden kuin TLSA:n kanssa. Ensimmäinen on SSHFP DNS-tietue SSH-yhteyksien avainten vahvistamiseksi. Se on kuvattu kohdassa , и . Toinen on OPENPGPKEY-merkintä avainten vaihtoon PGP:n avulla (). Lopuksi kolmas on SMIMEA-tietue (standardia ei ole virallistettu RFC: ssä, se on ) salausavainten vaihtoon S/MIME:n kautta.
Mikä DANEa vaivaa?
Toukokuun puolivälissä pidettiin DNS-OARC-konferenssi (tämä on voittoa tavoittelematon organisaatio, joka käsittelee verkkotunnusjärjestelmän turvallisuutta, vakautta ja kehittämistä). Asiantuntijat yhdessä paneelissa että DANE-tekniikka selaimissa on epäonnistunut (ainakin nykyisessä toteutuksessaan). Konferenssissa Geoff Huston, johtava tutkija , yksi viidestä alueellisesta Internet-rekisteröijästä, DANEsta "kuolleena teknologiana".
Suositut selaimet eivät tue DANE-varmenteiden todennusta. Marketissa , jotka paljastavat TLSA-tietueiden toimivuuden, mutta myös niiden tuen .
DANE-jakelun ongelmat selaimissa liittyvät DNSSEC-tarkistusprosessin pituuteen. Järjestelmän on pakko tehdä salauslaskelmia SSL-varmenteen aitouden varmistamiseksi ja käydä läpi koko DNS-palvelinketju (juurialueelta isäntäverkkoalueelle), kun se muodostaa ensimmäisen yhteyden resurssiin.
/Unsplash/
Mozilla yritti poistaa tämän epäkohdan mekanismin avulla TLS:lle. Sen piti vähentää DNS-tietueiden määrää, joita asiakkaan oli etsittävä todennuksen aikana. Kehitysryhmän sisällä syntyi kuitenkin erimielisyyksiä, joita ei voitu ratkaista. Tämän seurauksena projekti hylättiin, vaikka IETF hyväksyi sen maaliskuussa 2018.
Toinen syy DANE:n alhaiseen suosioon on DNSSEC:n alhainen esiintyvyys maailmassa - . Asiantuntijat katsoivat, että tämä ei riittänyt DANE:n aktiiviseen edistämiseen.
Todennäköisesti ala kehittyy toiseen suuntaan. Sen sijaan, että käyttäisivät DNS:ää SSL/TLS-varmenteiden tarkistamiseen, markkinatoimijat mainostavat DNS-over-TLS (DoT)- ja DNS-over-HTTPS (DoH) -protokollia. Mainitsimme jälkimmäisen yhdessä meidän Habrella. Ne salaavat ja vahvistavat käyttäjien DNS-palvelimelle lähetetyt pyynnöt estäen hyökkääjiä huijaamasta tietoja. Vuoden alussa DoT oli jo Googlelle julkisen DNS:n vuoksi. Mitä tulee DANEen, tuleeko teknologia "palaamaan satulaan" ja leviämään siitä edelleen laajalti, jää nähtäväksi tulevaisuudessa.
Mitä muuta meillä on luettavaa:
Lähde: will.com