Razgovaramo o tome što je DANE tehnologija za autentifikaciju naziva domena pomoću DNS-a i zašto se ne koristi široko u preglednicima.
/Ukloni prskanje/
Što je DANE
Certifikacijska tijela (CA) su organizacije koje kriptografski certifikat . Na njih stavljaju svoj elektronički potpis, potvrđujući njihovu autentičnost. Međutim, ponekad se javljaju situacije kada se potvrde izdaju s kršenjima. Na primjer, Google je prošle godine pokrenuo “proceduru detrust” za Symantec certifikate zbog njihove kompromitacije (ovu priču smo detaljno obradili na našem blogu - и ).
Kako bi se izbjegle takve situacije, prije nekoliko godina IETF DANE tehnologija (ali nije široko korištena u preglednicima - kasnije ćemo govoriti o tome zašto se to dogodilo).
DANE (Authentication of Named Entities temeljena na DNS-u) je skup specifikacija koji vam omogućuje korištenje DNSSEC-a (Name System Security Extensions) za kontrolu valjanosti SSL certifikata. DNSSEC je proširenje sustava naziva domena koje minimizira napade lažiranja adrese. Koristeći ove dvije tehnologije, webmaster ili klijent može kontaktirati jednog od operatora DNS zone i potvrditi valjanost certifikata koji se koristi.
U biti, DANE djeluje kao samopotpisani certifikat (garant njegove pouzdanosti je DNSSEC) i nadopunjuje funkcije CA-a.
Kako ovo radi
DANE specifikacija je opisana u . Prema dokumentu, u dodan je novi tip - TLSA. Sadrži podatke o certifikatu koji se prenosi, veličini i vrsti podataka koji se prenose, kao i same podatke. Webmaster stvara digitalni otisak certifikata, potpisuje ga DNSSEC-om i stavlja u TLSA.
Klijent se spaja na stranicu na Internetu i uspoređuje svoj certifikat s “kopijom” koju je dobio od DNS operatera. Ako se podudaraju, tada se resurs smatra pouzdanim.
Wiki stranica DANE pruža sljedeći primjer DNS zahtjeva za example.org na TCP priključku 443:
IN TLSA _443._tcp.example.orgOdgovor izgleda ovako:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE ima nekoliko ekstenzija koje rade s DNS zapisima koji nisu TLSA. Prvi je SSHFP DNS zapis za provjeru valjanosti ključeva na SSH vezama. Opisano je u , и . Drugi je unos OPENPGPKEY za razmjenu ključeva pomoću PGP-a (). Konačno, treći je zapis SMIMEA (standard nije formaliziran u RFC-u, postoji ) za razmjenu kriptografskih ključeva putem S/MIME.
U čemu je problem s DANE
Sredinom svibnja održana je DNS-OARC konferencija (neprofitna organizacija koja se bavi sigurnošću, stabilnošću i razvojem sustava naziva domena). Stručnjaci na jednom od panela da je DANE tehnologija u preglednicima zakazala (barem u trenutnoj implementaciji). Prisutan na konferenciji Geoff Huston, vodeći istraživač , jedan od pet regionalnih internetskih registara, o DANE kao “mrtvoj tehnologiji”.
Popularni preglednici ne podržavaju autentifikaciju certifikata pomoću DANE-a. Na tržištu , koji otkrivaju funkcionalnost TLSA zapisa, ali i njihovu podršku .
Problemi s distribucijom DANE u preglednicima povezani su s duljinom procesa provjere valjanosti DNSSEC-a. Sustav je prisiljen napraviti kriptografske izračune kako bi potvrdio autentičnost SSL certifikata i proći kroz cijeli lanac DNS poslužitelja (od korijenske zone do domene domaćina) kada se prvi put povezuje s resursom.
/Ukloni prskanje/
Mozilla je pokušala eliminirati ovaj nedostatak pomoću mehanizma za TLS. Trebao je smanjiti broj DNS zapisa koje je klijent morao tražiti tijekom autentifikacije. Međutim, unutar razvojne skupine došlo je do nesuglasica koje nije bilo moguće riješiti. Kao rezultat toga, projekt je napušten, iako ga je IETF odobrio u ožujku 2018.
Drugi razlog niske popularnosti DANE-a je niska prevalencija DNSSEC-a u svijetu - . Stručnjaci smatraju da to nije dovoljno za aktivnu promociju DANE.
Najvjerojatnije će se industrija razvijati u drugom smjeru. Umjesto korištenja DNS-a za provjeru SSL/TLS certifikata, tržišni igrači će promovirati DNS-over-TLS (DoT) i DNS-over-HTTPS (DoH) protokole. Potonje smo spomenuli u jednom od naših na Habréu. Oni šifriraju i provjeravaju korisničke zahtjeve prema DNS poslužitelju, sprječavajući napadače u lažiranju podataka. Početkom godine DoT je već bio Googleu za njegov javni DNS. Što se tiče DANE-a, hoće li se tehnologija uspjeti "vratiti u sedlo" i ipak postati široko rasprostranjena, ostaje za vidjeti u budućnosti.
Što još imamo za dodatno čitanje:
Izvor: www.habr.com