Kami berbicara tentang apa itu teknologi DANE untuk mengautentikasi nama domain menggunakan DNS dan mengapa teknologi ini tidak banyak digunakan di browser.
/hapus percikan/
Apa itu DANE
Otoritas Sertifikasi (CA) adalah organisasi yang sertifikat kriptografi . Mereka membubuhkan tanda tangan elektronik pada mereka, mengkonfirmasi keasliannya. Namun, terkadang muncul situasi ketika sertifikat diterbitkan dengan pelanggaran. Misalnya, tahun lalu Google memulai “prosedur detrust” untuk sertifikat Symantec karena kompromi mereka (kami membahas cerita ini secara rinci di blog kami - и ).
Untuk menghindari situasi seperti itu, beberapa tahun lalu IETF Teknologi DANE (tetapi tidak banyak digunakan di browser - kita akan membicarakan alasannya nanti).
DANE (Otentikasi Entitas Bernama berbasis DNS) adalah serangkaian spesifikasi yang memungkinkan Anda menggunakan DNSSEC (Ekstensi Keamanan Sistem Nama) untuk mengontrol validitas sertifikat SSL. DNSSEC adalah ekstensi Sistem Nama Domain yang meminimalkan serangan spoofing alamat. Dengan menggunakan kedua teknologi ini, webmaster atau klien dapat menghubungi salah satu operator zona DNS dan mengonfirmasi validitas sertifikat yang digunakan.
Pada dasarnya, DANE bertindak sebagai sertifikat yang ditandatangani sendiri (penjamin keandalannya adalah DNSSEC) dan melengkapi fungsi CA.
Bagaimana itu bekerja
Spesifikasi DANE dijelaskan dalam . Menurut dokumen itu, di tipe baru telah ditambahkan - TLSA. Ini berisi informasi tentang sertifikat yang ditransfer, ukuran dan jenis data yang ditransfer, serta data itu sendiri. Webmaster membuat cap jempol digital dari sertifikat tersebut, menandatanganinya dengan DNSSEC, dan menempatkannya di TLSA.
Klien terhubung ke situs di Internet dan membandingkan sertifikatnya dengan “salinan” yang diterima dari operator DNS. Jika cocok, maka sumber daya tersebut dianggap tepercaya.
Halaman wiki DANE memberikan contoh permintaan DNS berikut ke example.org pada port TCP 443:
IN TLSA _443._tcp.example.orgJawabannya terlihat seperti ini:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE memiliki beberapa ekstensi yang berfungsi dengan data DNS selain TLSA. Yang pertama adalah catatan DNS SSHFP untuk memvalidasi kunci pada koneksi SSH. Hal ini dijelaskan dalam , и . Yang kedua adalah entri OPENPGPKEY untuk pertukaran kunci menggunakan PGP (). Terakhir, yang ketiga adalah catatan SMIMEA (standarnya tidak diformalkan dalam RFC, ada ) untuk pertukaran kunci kriptografi melalui S/MIME.
Ada masalah apa dengan DANE
Pada pertengahan Mei, konferensi DNS-OARC diadakan (organisasi nirlaba yang menangani keamanan, stabilitas, dan pengembangan sistem nama domain). Para ahli di salah satu panel bahwa teknologi DANE di browser telah gagal (setidaknya dalam penerapannya saat ini). Hadir pada konferensi tersebut Geoff Huston, Ilmuwan Riset Terkemuka , salah satu dari lima pendaftar Internet regional, tentang DANE sebagai “teknologi mati”.
Browser populer tidak mendukung otentikasi sertifikat menggunakan DANE. Di pasar , yang mengungkapkan fungsionalitas catatan TLSA, tetapi juga dukungannya .
Masalah distribusi DANE di browser terkait dengan lamanya proses validasi DNSSEC. Sistem dipaksa untuk melakukan penghitungan kriptografi untuk mengonfirmasi keaslian sertifikat SSL dan menelusuri seluruh rantai server DNS (dari zona akar hingga domain host) saat pertama kali menyambung ke sumber daya.
/hapus percikan/
Mozilla mencoba menghilangkan kelemahan ini menggunakan mekanisme tersebut untuk TLS. Hal ini dimaksudkan untuk mengurangi jumlah catatan DNS yang harus dicari klien selama otentikasi. Namun, perselisihan muncul di dalam kelompok pembangunan yang tidak dapat diselesaikan. Akibatnya, proyek tersebut terbengkalai, meski telah disetujui oleh IETF pada Maret 2018.
Alasan lain rendahnya popularitas DANE adalah rendahnya prevalensi DNSSEC di dunia - . Para ahli merasa bahwa ini tidak cukup untuk mempromosikan DANE secara aktif.
Kemungkinan besar, industri ini akan berkembang ke arah yang berbeda. Daripada menggunakan DNS untuk memverifikasi sertifikat SSL/TLS, pelaku pasar malah akan mempromosikan protokol DNS-over-TLS (DoT) dan DNS-over-HTTPS (DoH). Kami menyebutkan yang terakhir di salah satu kami di Habré. Mereka mengenkripsi dan memverifikasi permintaan pengguna ke server DNS, mencegah penyerang melakukan spoofing data. Di awal tahun, DoT sudah ada ke Google untuk DNS Publiknya. Sedangkan bagi DANE, apakah teknologinya akan mampu “kembali” dan tetap tersebar luas masih harus dilihat di masa depan.
Apa lagi yang kami miliki untuk bacaan lebih lanjut:
Sumber: www.habr.com