Կարծիք կա՝ DANE տեխնոլոգիան բրաուզերների համար ձախողվել է

Մենք խոսում ենք այն մասին, թե ինչ է իրենից ներկայացնում DANE տեխնոլոգիան DNS-ի միջոցով դոմենների անունները վավերացնելու համար և ինչու այն լայնորեն չի օգտագործվում բրաուզերներում:

/Unsplash/ Պաուլիուս Դրագունաս

Ի՞նչ է ԴԱՆԵՆԸ

Հավաստագրման մարմինները (CA) կազմակերպություններ են, որոնք զբաղվում են ծածկագրային վկայագիր SSL վկայագրեր. Նրանց վրա դրել են իրենց էլեկտրոնային ստորագրությունը՝ հաստատելով դրանց իսկությունը։ Այնուամենայնիվ, երբեմն իրավիճակներ են առաջանում, երբ վկայականները տրվում են խախտումներով: Օրինակ, անցյալ տարի Google-ը նախաձեռնեց «անվստահության ընթացակարգ» Symantec վկայագրերի համար՝ դրանց փոխզիջման պատճառով (մենք մանրամասն անդրադարձել ենք այս պատմությանը մեր բլոգում. ժամանակ и два).

Նման իրավիճակներից խուսափելու համար մի քանի տարի առաջ IETF-ը սկսեց զարգանալ DANE տեխնոլոգիան (բայց այն լայնորեն չի օգտագործվում բրաուզերներում. ինչու դա տեղի ունեցավ, մենք կխոսենք ավելի ուշ):

DANE-ը (DNS-ի վրա հիմնված Անվանված սուբյեկտների նույնականացում) բնութագրերի մի շարք է, որը թույլ է տալիս օգտագործել DNSSEC (Name System Security Extensions)՝ SSL վկայագրերի վավերականությունը վերահսկելու համար: DNSSEC-ը դոմենային անունների համակարգի ընդլայնումն է, որը նվազագույնի է հասցնում հասցեների կեղծման հարձակումները: Օգտագործելով այս երկու տեխնոլոգիաները՝ վեբ վարպետը կամ հաճախորդը կարող է կապ հաստատել DNS գոտու օպերատորներից մեկի հետ և հաստատել օգտագործվող վկայագրի վավերականությունը:

Ըստ էության, DANE-ը գործում է որպես ինքնստորագրված վկայագիր (դրա հուսալիության երաշխավորը DNSSEC-ն է) և լրացնում է CA-ի գործառույթները:

Ինչպես է այն աշխատում

DANE ճշգրտումը նկարագրված է RFC6698- ը. Փաստաթղթի համաձայն՝ ին DNS ռեսուրսների գրառումներ ավելացվել է նոր տեսակ՝ TLSA: Այն պարունակում է տեղեկատվություն փոխանցվող վկայագրի, փոխանցվող տվյալների չափի և տեսակի, ինչպես նաև տվյալների մասին: Վեբ վարպետը ստեղծում է վկայագրի թվային մատնահետքը, ստորագրում է այն DNSSEC-ով և տեղադրում այն ​​TLSA-ում:

Հաճախորդը միանում է ինտերնետային կայքին և դրա վկայականը համեմատում DNS օպերատորից ստացված «պատճեն»-ի հետ: Եթե ​​դրանք համընկնում են, ապա ռեսուրսը համարվում է վստահելի:

DANE վիքի էջը ներկայացնում է DNS հարցման հետևյալ օրինակը example.org-ին TCP պորտ 443-ում.

IN TLSA _443._tcp.example.org

Պատասխանն այսպիսի տեսք ունի.

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE-ն ունի մի քանի ընդլայնումներ, որոնք աշխատում են այլ DNS գրառումներով, բացի TLSA-ից: Առաջինը SSHFP DNS ռեկորդն է՝ SSH կապերի վրա ստեղների վավերացման համար: Այն նկարագրված է RFC4255- ը, RFC6594- ը и RFC7479- ը. Երկրորդը OPENPGPKEY մուտքն է՝ բանալիների փոխանակման համար՝ օգտագործելով PGP (RFC7929- ը). Վերջապես, երրորդը SMIMEA գրառումն է (չափանիշը RFC-ում պաշտոնականացված չէ, կա միայն դրա նախագիծը) ծածկագրային բանալիների փոխանակման համար S/MIME-ի միջոցով:

Ի՞նչ խնդիր կա DANE-ի հետ

Մայիսի կեսերին տեղի ունեցավ DNS-OARC կոնֆերանսը (սա շահույթ չհետապնդող կազմակերպություն է, որը զբաղվում է դոմեյն անունների համակարգի անվտանգության, կայունության և զարգացման հարցերով): Վահանակներից մեկի փորձագետները եկել է եզրակացությանոր DANE տեխնոլոգիան բրաուզերներում ձախողվել է (գոնե դրա ներկայիս ներդրման մեջ): Գիտաժողովին ներկա Ջեֆ Հյուսթոնը, առաջատար գիտաշխատող ԱՊՆԻԿ, հինգ տարածաշրջանային ինտերնետ գրանցողներից մեկը, արձագանքեց DANE-ի մասին՝ որպես «մեռած տեխնոլոգիայի»:

Հանրաճանաչ բրաուզերները չեն աջակցում վկայագրի նույնականացումը DANE-ի միջոցով: Շուկայում կան հատուկ պլագիններ, որոնք բացահայտում են TLSA գրառումների ֆունկցիոնալությունը, բայց նաև դրանց աջակցությունը աստիճանաբար դադարեցնել.

Բրաուզերներում DANE բաշխման հետ կապված խնդիրները կապված են DNSSEC վավերացման գործընթացի երկարության հետ: Համակարգը ստիպված է կրիպտոգրաֆիկ հաշվարկներ կատարել SSL վկայագրի իսկությունը հաստատելու և DNS սերվերների ամբողջ շղթայով անցնելու համար (արմատային գոտուց մինչև հոսթ տիրույթ) առաջին անգամ ռեսուրսին միանալիս:

/Unsplash/ Կալի Դիկստրա

Mozilla-ն փորձեց վերացնել այս թերությունը՝ օգտագործելով մեխանիզմը DNSSEC շղթայի ընդլայնում TLS-ի համար: Ենթադրվում էր նվազեցնել DNS գրառումների քանակը, որոնք հաճախորդը պետք է որոներ նույնականացման ժամանակ։ Այնուամենայնիվ, զարգացման խմբի ներսում առաջացան տարաձայնություններ, որոնք հնարավոր չեղավ լուծել: Արդյունքում, նախագիծը լքվեց, թեև այն հաստատվեց IETF-ի կողմից 2018 թվականի մարտին։

DANE-ի ցածր ժողովրդականության մեկ այլ պատճառ էլ DNSSEC-ի ցածր տարածվածությունն է աշխարհում. ռեսուրսների միայն 19%-ն է աշխատում դրա հետ. Փորձագետները կարծում էին, որ դա բավարար չէ ԴԱՆԵ-ն ակտիվորեն առաջ մղելու համար:

Ամենայն հավանականությամբ, արդյունաբերությունը կզարգանա այլ ուղղությամբ։ SSL/TLS վկայագրերը ստուգելու համար DNS օգտագործելու փոխարեն, շուկայի խաղացողները կխթանեն DNS-over-TLS (DoT) և DNS-over-HTTPS (DoH) արձանագրությունները: Վերջինիս մասին մենք նշել ենք մեր մեկում նախորդ նյութերը Հաբրեի վրա։ Նրանք գաղտնագրում և ստուգում են օգտատերերի հարցումները DNS սերվերին՝ կանխելով հարձակվողներին տվյալների կեղծումը: Տարեսկզբին DoT-ն արդեն եղել է իրականացվել է Google-ին իր հանրային DNS-ի համար: Ինչ վերաբերում է DANE-ին, ապա արդյո՞ք տեխնոլոգիան կկարողանա «վերադառնալ թամբի մեջ» և դեռ լայն տարածում ստանալ, մնում է պարզել ապագայում:

Էլ ի՞նչ ունենք հետագա ընթերցման համար.

Ինչպես ավտոմատացնել ՏՏ ենթակառուցվածքի կառավարումը. քննարկելով երեք միտում
JMAP - բաց արձանագրություն, որը կփոխարինի IMAP-ին նամակներ փոխանակելիս

Ինչպես խնայել հավելվածի ծրագրավորման ինտերֆեյսի միջոցով
DevOps-ը ամպային ծառայության մեջ՝ օգտագործելով 1cloud.ru-ի օրինակը
Ամպային ճարտարապետության էվոլյուցիան 1cloud

Ինչպե՞ս է աշխատում 1cloud տեխնիկական աջակցությունը:
Առասպելներ ամպային տեխնոլոգիաների մասին

Source: www.habr.com