A hitelesítésszolgáltatók (CA-k) olyan szervezetek, amelyek el vannak jegyezve kriptográfiai tanúsítvány SSL tanúsítványok. Rájuk helyezték az elektronikus aláírásukat, megerősítve azok hitelességét. Néha azonban előfordulnak olyan helyzetek, amikor a tanúsítványokat megsértéssel állítják ki. Tavaly például a Google „megbízhatósági eljárást” kezdeményezett a Symantec-tanúsítványok kompromittálása miatt (a történettel a blogunkban részletesen foglalkoztunk - idő и два).
Az ilyen helyzetek elkerülése érdekében néhány évvel ezelőtt az IETF kezdett fejlődni DANE technológia (de nem széles körben használják a böngészőkben - később beszélünk arról, hogy miért történt ez).
A DANE (névvel ellátott entitások DNS-alapú hitelesítése) egy olyan specifikációkészlet, amely lehetővé teszi a DNSSEC (Name System Security Extensions) használatát az SSL-tanúsítványok érvényességének ellenőrzésére. A DNSSEC a Domain Name System kiterjesztése, amely minimalizálja a címhamisítási támadásokat. E két technológia használatával a webmester vagy az ügyfél kapcsolatba léphet a DNS-zóna operátorok egyikével, és megerősítheti a használt tanúsítvány érvényességét.
A DANE lényegében önaláírt tanúsítványként működik (megbízhatóságának garanciája a DNSSEC), és kiegészíti a CA funkcióit.
Ez hogy működik
A DANE specifikáció leírása a RFC6698. A dokumentum szerint in DNS-erőforrás rekordok egy új típus került hozzáadásra - TLSA. Információkat tartalmaz az átvitt tanúsítványról, az átvitt adatok méretéről és típusáról, valamint magáról az adatról. A webmester létrehozza a tanúsítvány digitális ujjlenyomatát, aláírja a DNSSEC segítségével, és elhelyezi a TLSA-ban.
Az ügyfél csatlakozik egy internetes oldalhoz, és összehasonlítja annak tanúsítványát a DNS-operátortól kapott „másolattal”. Ha megegyeznek, akkor az erőforrás megbízhatónak minősül.
A DANE wikioldal a következő példát kínálja egy DNS-kérésre az example.org számára a 443-as TCP-porton:
IN TLSA _443._tcp.example.org
A válasz így néz ki:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
A DANE számos olyan kiterjesztéssel rendelkezik, amelyek a TLSA-n kívül más DNS-rekordokkal is működnek. Az első az SSHFP DNS-rekord az SSH-kapcsolatok kulcsainak érvényesítésére. -ban van leírva RFC4255, RFC6594 и RFC7479. A második az OPENPGPKEY bejegyzés a kulcscseréhez PGP használatával (RFC7929). Végül a harmadik a SMIMEA rekord (a szabvány nincs formalizálva az RFC-ben, van csak egy tervezetet) kriptográfiai kulcscseréhez S/MIME-n keresztül.
Mi a probléma a DANE-nel?
Május közepén került sor a DNS-OARC konferenciára (egy non-profit szervezet, amely a domain névrendszer biztonságával, stabilitásával és fejlesztésével foglalkozik). Szakértők az egyik panelen arra a következtetésre jutotthogy a DANE technológia a böngészőkben megbukott (legalábbis a jelenlegi megvalósításában). Jelen a konferencián Geoff Huston, vezető kutató APNIC, az öt regionális internetes regisztrátor egyike, válaszolt a DANE-ról mint „halott technológiáról”.
A népszerű böngészők nem támogatják a tanúsítványhitelesítést a DANE használatával. A piacon speciális bővítmények vannak, amelyek felfedik a TLSA rekordok funkcionalitását, de a támogatásukat is fokozatosan hagyja abba.
A böngészőkben a DANE terjesztésével kapcsolatos problémák a DNSSEC érvényesítési folyamatának hosszához kapcsolódnak. A rendszer kénytelen kriptográfiai számításokat végezni, hogy megerősítse az SSL-tanúsítvány hitelességét, és végigmenjen a DNS-kiszolgálók teljes láncán (a gyökérzónától a gazdagép tartományig), amikor először csatlakozik egy erőforráshoz.
A Mozilla megpróbálta kiküszöbölni ezt a hátrányt a mechanizmus segítségével DNSSEC lánc kiterjesztés a TLS számára. Csökkenteni kellett azoknak a DNS-rekordoknak a számát, amelyeket az ügyfélnek meg kellett keresnie a hitelesítés során. A fejlesztési csoporton belül azonban nézeteltérések merültek fel, amelyeket nem sikerült megoldani. Ennek eredményeként a projektet felhagyták, bár az IETF 2018 márciusában jóváhagyta.
A DANE alacsony népszerűségének másik oka a DNSSEC alacsony elterjedtsége a világon. az erőforrások mindössze 19%-a dolgozik vele. A szakértők úgy vélték, hogy ez nem elég a DANE aktív népszerűsítéséhez.
Valószínűleg az iparág más irányba fejlődik. Ahelyett, hogy DNS-t használnának az SSL/TLS-tanúsítványok ellenőrzésére, a piaci szereplők a DNS-over-TLS (DoT) és a DNS-over-HTTPS (DoH) protokollokat fogják népszerűsíteni. Ez utóbbit említettük az egyik cikkünkben korábbi anyagok a Habrén. Titkosítják és ellenőrzik a DNS-kiszolgálóhoz intézett felhasználói kéréseket, megakadályozva a támadókat az adatok meghamisításában. Az év elején a DoT már végrehajtva a Google-nak a nyilvános DNS-ért. Ami a DANE-t illeti, a jövőben kiderül, hogy a technológia képes lesz-e „visszaszállni a nyeregbe”, és továbbra is elterjedni.