Wy prate oer wat DANE-technology is foar it autentisearjen fan domeinnammen mei DNS en wêrom't it net in soad brûkt wurdt yn browsers.
/unsplash/
Wat is DANE
Certification Authorities (CA's) binne organisaasjes dy't kryptografysk sertifikaat . Se sette har elektroanyske hantekening op har, befêstigje har autentisiteit. Soms ûntsteane lykwols situaasjes as sertifikaten wurde útjûn mei oertredings. Bygelyks, ferline jier Google inisjearre in "detrustproseduere" foar Symantec-sertifikaten fanwegen har kompromis (wy hawwe dit ferhaal yn detail behannele yn ús blog - и ).
Om foar te kommen sokke situaasjes, ferskate jierren lyn de IETF DANE technology (mar it wurdt net in soad brûkt yn browsers - wy sille prate oer wêrom dit barde letter).
DANE (DNS-basearre autentikaasje fan neamde entiteiten) is in set fan spesifikaasjes wêrmei jo DNSSEC (Name System Security Extensions) kinne brûke om de jildigens fan SSL-sertifikaten te kontrolearjen. DNSSEC is in útwreiding fan it domeinnammesysteem dat adres spoofing-oanfallen minimalisearret. Mei dizze twa technologyen kin in webmaster as kliïnt kontakt opnimme mei ien fan 'e DNS-sône-operators en de jildigens fan it sertifikaat dat wurdt brûkt befêstigje.
Yn essinsje fungearret DANE as in sels-ûndertekene sertifikaat (de garânsje fan har betrouberens is DNSSEC) en komplementearret de funksjes fan in CA.
Hoe docht dit wurk
De DANE-spesifikaasje wurdt beskreaun yn . Neffens it dokumint, yn in nij type waard tafoege - TLSA. It befettet ynformaasje oer it sertifikaat dat wurdt oerdroegen, de grutte en it type fan gegevens dy't wurde oerdroegen, lykas de gegevens sels. De webmaster makket in digitale thumbprint fan it sertifikaat, tekenet it mei DNSSEC, en pleatst it yn 'e TLSA.
De kliïnt ferbynt mei in side op it ynternet en fergeliket syn sertifikaat mei de "kopy" ûntfongen fan 'e DNS-operator. As se oerienkomme, dan wurdt de boarne beskôge as fertroud.
De DANE wiki-side jout it folgjende foarbyld fan in DNS-fersyk oan example.org op TCP-poarte 443:
IN TLSA _443._tcp.example.orgIt antwurd sjocht der sa út:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE hat ferskate útwreidingen dy't wurkje mei oare DNS-records dan TLSA. De earste is it SSHFP DNS-record foar it validearjen fan kaaien op SSH-ferbiningen. It wurdt beskreaun yn , и . De twadde is de OPENPGPKEY-yngong foar kaai-útwikseling mei PGP (). Uteinlik is de tredde it SMIMEA-record (de standert is net formalisearre yn 'e RFC, d'r is ) foar útwikseling fan kryptografyske kaaien fia S/MIME.
Wat is it probleem mei DANE
Mids maaie waard de DNS-OARC konferinsje hâlden (dit is in non-profit organisaasje dy't him dwaande hâldt mei feiligens, stabiliteit en ûntwikkeling fan it domeinnammesysteem). Eksperts op ien fan 'e panielen dat DANE technology yn browsers is mislearre (op syn minst yn syn hjoeddeistige ymplemintaasje). Oanwêzich op de konferinsje Geoff Huston, Leading Research Scientist , ien fan fiif regionale ynternetregistrars, oer DANE as in "deade technology".
Populêre browsers stypje gjin sertifikaatferifikaasje mei DANE. Op 'e merk , dy't de funksjonaliteit fan TLSA-records iepenbierje, mar ek har stipe .
Problemen mei DANE-distribúsje yn browsers binne ferbûn mei de lingte fan it DNSSEC-validaasjeproses. It systeem wurdt twongen om kryptografyske berekkeningen te meitsjen om de autentisiteit fan it SSL-sertifikaat te befêstigjen en troch de heule keten fan DNS-tsjinners te gean (fan 'e rootsône nei it hostdomein) by it earste ferbinen mei in boarne.
/unsplash/
Mozilla besocht dit tekoart te eliminearjen mei it meganisme foar TLS. It soe it oantal DNS-records ferminderje dat de kliïnt moast opsykje tidens autentikaasje. Binnen de ûntwikkelingsgroep ûntstiene lykwols ûnienichheid dy't net oplost wurde koene. As gefolch, it projekt waard ferlitten, hoewol't it waard goedkard troch de IETF yn maart 2018.
In oare reden foar de lege populariteit fan DANE is de lege prevalens fan DNSSEC yn 'e wrâld - . Eksperts fûnen dat dit net genôch wie om DANE aktyf te befoarderjen.
Meast wierskynlik sil de yndustry yn in oare rjochting ûntwikkelje. Ynstee fan DNS te brûken om SSL/TLS-sertifikaten te ferifiearjen, sille merkspilers ynstee DNS-over-TLS (DoT) en DNS-over-HTTPS (DoH) protokollen befoarderje. Wy neamden it lêste yn ien fan ús op Habré. Se fersiferje en ferifiearje brûkersoanfragen oan 'e DNS-tsjinner, wêrtroch oanfallers foarkomme om gegevens te spoofen. Oan it begjin fan it jier wie DoT al nei Google foar syn Iepenbiere DNS. Wat DANE oanbelanget, of de technology sil yn steat wêze om "werom yn it saddel" te kommen en noch wiidferspraat te wurden, bliuwt yn 'e takomst te sjen.
Wat oars hawwe wy foar fierdere lêzen:
Boarne: www.habr.com