Falamos sobre o que é a tecnoloxía DANE para autenticar nomes de dominio mediante DNS e por que non se usa moito nos navegadores.
/Unsplash/
Que é DANE
As Autoridades de Certificación (CA) son organizacións que certificado criptográfico . Puxéronlles a súa sinatura electrónica, confirmando a súa autenticidade. Non obstante, ás veces xorden situacións cando se emiten certificados con infraccións. Por exemplo, o ano pasado Google iniciou un "procedemento de desconfianza" para os certificados de Symantec debido ao seu compromiso (cubrimos esta historia en detalle no noso blog - и ).
Para evitar tales situacións, fai varios anos o IETF Tecnoloxía DANE (pero non se usa moito nos navegadores; falaremos de por que ocorreu isto máis tarde).
DANE (Autenticación de entidades con nome baseada en DNS) é un conxunto de especificacións que permite utilizar DNSSEC (Extensións de seguridade do sistema de nomes) para controlar a validez dos certificados SSL. DNSSEC é unha extensión do sistema de nomes de dominio que minimiza os ataques de suplantación de enderezos. Usando estas dúas tecnoloxías, un webmaster ou cliente pode contactar cun dos operadores da zona DNS e confirmar a validez do certificado que se está a utilizar.
Esencialmente, DANE actúa como un certificado autoasinado (o garante da súa fiabilidade é DNSSEC) e complementa as funcións dunha CA.
Chat isto
A especificación DANE descríbese en . Segundo o documento, en engadiuse un novo tipo - TLSA. Contén información sobre o certificado que se está a transferir, o tamaño e tipo de datos que se están a transferir, así como os propios datos. O administrador web crea unha pegada dixital do certificado, asínaa con DNSSEC e colócaa no TLSA.
O cliente conéctase a un sitio en Internet e compara o seu certificado coa "copia" recibida do operador DNS. Se coinciden, entón o recurso considérase de confianza.
A páxina wiki DANE ofrece o seguinte exemplo dunha solicitude DNS a example.org no porto TCP 443:
IN TLSA _443._tcp.example.orgA resposta é así:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE ten varias extensións que funcionan con rexistros DNS distintos de TLSA. O primeiro é o rexistro DNS SSHFP para validar claves nas conexións SSH. Descríbese en , и . A segunda é a entrada OPENPGPKEY para o intercambio de claves mediante PGP (). Finalmente, o terceiro é o rexistro SMIMEA (o estándar non está formalizado no RFC, hai ) para intercambio de claves criptográficas a través de S/MIME.
Cal é o problema con DANE
A mediados de maio celebrouse a conferencia DNS-OARC (esta é unha organización sen ánimo de lucro que se ocupa da seguridade, estabilidade e desenvolvemento do sistema de nomes de dominio). Expertos nun dos paneis que a tecnoloxía DANE nos navegadores fallou (polo menos na súa implementación actual). Presente na conferencia Geoff Huston, Leading Research Scientist , un dos cinco rexistradores rexionais de Internet, sobre o DANE como unha "tecnoloxía morta".
Os navegadores populares non admiten a autenticación de certificado mediante DANE. No mercado , que revelan a funcionalidade dos rexistros TLSA, pero tamén o seu soporte .
Os problemas coa distribución DANE nos navegadores están asociados coa duración do proceso de validación DNSSEC. O sistema vese obrigado a realizar cálculos criptográficos para confirmar a autenticidade do certificado SSL e percorrer toda a cadea de servidores DNS (desde a zona raíz ata o dominio do host) cando se conecta por primeira vez a un recurso.
/Unsplash/
Mozilla intentou eliminar este inconveniente mediante o mecanismo para TLS. Suponse que reduciría o número de rexistros DNS que o cliente tiña que buscar durante a autenticación. Non obstante, no seo do grupo de desenvolvemento xurdiron desavinzas que non puideron ser resoltas. Como resultado, o proxecto foi abandonado, aínda que foi aprobado polo IETF en marzo de 2018.
Outra razón da baixa popularidade de DANE é a baixa prevalencia de DNSSEC no mundo. . Os expertos consideraron que isto non era suficiente para promover activamente o DANE.
O máis probable é que a industria se desenvolva nunha dirección diferente. En lugar de usar DNS para verificar certificados SSL/TLS, os axentes do mercado promoverán os protocolos DNS sobre TLS (DoT) e DNS sobre HTTPS (DoH). Este último mencionámolo nun dos nosos sobre Habré. Cifran e verifican as solicitudes dos usuarios ao servidor DNS, evitando que os atacantes falsifiquen os datos. A principios de ano, DoT xa estaba a Google polo seu DNS público. En canto a DANE, aínda está por ver se a tecnoloxía poderá "volver á sela" e aínda se estende.
Que máis temos para ler máis:
Fonte: www.habr.com