Nous expliquons ce qu'est la technologie DANE pour authentifier les noms de domaine à l'aide du DNS et pourquoi elle n'est pas largement utilisée dans les navigateurs.
/Unsplash/
Qu'est-ce que DANE
Les autorités de certification (AC) sont des organisations qui certificat cryptographique . Ils y apposent leur signature électronique, confirmant leur authenticité. Cependant, il arrive parfois que des certificats soient délivrés avec des violations. Par exemple, l'année dernière, Google a lancé une « procédure de confiance » pour les certificats Symantec en raison de leur compromission (nous avons couvert cette histoire en détail dans notre blog - и ).
Pour éviter de telles situations, il y a plusieurs années, l'IETF Technologie DANE (mais elle n'est pas largement utilisée dans les navigateurs - nous expliquerons pourquoi cela s'est produit plus tard).
DANE (DNS-based Authentication of Named Entities) est un ensemble de spécifications qui vous permet d'utiliser DNSSEC (Name System Security Extensions) pour contrôler la validité des certificats SSL. DNSSEC est une extension du système de noms de domaine qui minimise les attaques d'usurpation d'adresse. Grâce à ces deux technologies, un webmaster ou un client peut contacter l'un des opérateurs de la zone DNS et confirmer la validité du certificat utilisé.
Essentiellement, DANE agit comme un certificat auto-signé (le garant de sa fiabilité est DNSSEC) et complète les fonctions d'une AC.
Comment ça marche
La spécification DANE est décrite dans . Selon le document, dans un nouveau type a été ajouté - TLSA. Il contient des informations sur le certificat en cours de transfert, la taille et le type des données transférées, ainsi que les données elles-mêmes. Le webmaster crée une empreinte numérique du certificat, le signe avec DNSSEC et le place dans le TLSA.
Le client se connecte à un site sur Internet et compare son certificat avec la « copie » reçue de l'opérateur DNS. S'ils correspondent, la ressource est considérée comme fiable.
La page wiki DANE fournit l'exemple suivant de requête DNS à example.org sur le port TCP 443 :
IN TLSA _443._tcp.example.orgLa réponse ressemble à ceci :
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE possède plusieurs extensions qui fonctionnent avec des enregistrements DNS autres que TLSA. Le premier est l'enregistrement DNS SSHFP pour valider les clés sur les connexions SSH. Il est décrit dans , и . La seconde est l'entrée OPENPGPKEY pour l'échange de clés à l'aide de PGP (). Enfin, le troisième est l'enregistrement SMIMEA (la norme n'est pas formalisée dans la RFC, il existe ) pour l'échange de clés cryptographiques via S/MIME.
Quel est le problème avec DANE
À la mi-mai s'est tenue la conférence DNS-OARC (il s'agit d'une organisation à but non lucratif qui s'occupe de la sécurité, de la stabilité et du développement du système de noms de domaine). Experts sur l'un des panels que la technologie DANE dans les navigateurs a échoué (du moins dans sa mise en œuvre actuelle). Présent à la conférence Geoff Huston, chercheur scientifique principal , l'un des cinq bureaux d'enregistrement Internet régionaux, sur DANE comme une « technologie morte ».
Les navigateurs populaires ne prennent pas en charge l'authentification par certificat à l'aide de DANE. Sur le marché , qui révèlent les fonctionnalités des enregistrements TLSA, mais aussi leur support .
Les problèmes de distribution de DANE dans les navigateurs sont associés à la longueur du processus de validation DNSSEC. Le système est obligé d'effectuer des calculs cryptographiques pour confirmer l'authenticité du certificat SSL et de parcourir toute la chaîne des serveurs DNS (de la zone racine au domaine hôte) lors de la première connexion à une ressource.
/Unsplash/
Mozilla a essayé d'éliminer cet inconvénient en utilisant le mécanisme pour TLS. Il était censé réduire le nombre d'enregistrements DNS que le client devait rechercher lors de l'authentification. Cependant, des désaccords sont apparus au sein du groupe de développement et n'ont pas pu être résolus. En conséquence, le projet a été abandonné, bien qu'il ait été approuvé par l'IETF en mars 2018.
Une autre raison de la faible popularité de DANE est la faible prévalence du DNSSEC dans le monde. . Les experts estiment que cela ne suffit pas pour promouvoir activement DANE.
Très probablement, l’industrie évoluera dans une direction différente. Au lieu d’utiliser le DNS pour vérifier les certificats SSL/TLS, les acteurs du marché favoriseront plutôt les protocoles DNS-over-TLS (DoT) et DNS-over-HTTPS (DoH). Nous avons mentionné ce dernier dans l'un de nos sur Habré. Ils chiffrent et vérifient les requêtes des utilisateurs auprès du serveur DNS, empêchant ainsi les attaquants d'usurper les données. Au début de l'année, DoT était déjà à Google pour son DNS public. Quant à DANE, il reste à voir dans le futur si la technologie sera capable de « se remettre en selle » et de se généraliser encore.
Qu'avons-nous d'autre pour une lecture plus approfondie :
Source: habr.com