Við tölum um hvað DANE tækni er til að sannvotta lén með DNS og hvers vegna hún er ekki mikið notuð í vöfrum.
/unsplash/
Hvað er DANE
Vottunaryfirvöld (CA) eru stofnanir sem dulmálsvottorð . Þeir setja rafræna undirskrift sína á þá, sem staðfestir áreiðanleika þeirra. Hins vegar koma stundum upp aðstæður þegar vottorð eru gefin út með brotum. Til dæmis, á síðasta ári hóf Google „aftraustsferli“ fyrir Symantec vottorð vegna málamiðlunar þeirra (við fórum yfir þessa sögu í smáatriðum á blogginu okkar - и ).
Til að forðast slíkar aðstæður, fyrir nokkrum árum síðan IETF DANE tækni (en hún er ekki mikið notuð í vöfrum - við munum tala um hvers vegna þetta gerðist síðar).
DANE (DNS-based Authentication of Named Entities) er sett af forskriftum sem gerir þér kleift að nota DNSSEC (Name System Security Extensions) til að stjórna gildi SSL vottorða. DNSSEC er viðbót við lénsheitakerfið sem lágmarkar skopstælingarárásir. Með því að nota þessar tvær tækni getur vefstjóri eða viðskiptavinur haft samband við einn af rekstraraðilum DNS svæðisins og staðfest gildi vottorðsins sem verið er að nota.
Í meginatriðum virkar DANE sem sjálfundirritað vottorð (ábyrgðarmaður áreiðanleika þess er DNSSEC) og bætir við aðgerðir CA.
Hvernig virkar þetta
DANE forskriftinni er lýst í . Samkvæmt skjalinu, í ný gerð var bætt við - TLSA. Það inniheldur upplýsingar um skírteinið sem verið er að flytja, stærð og gerð gagna sem verið er að flytja, svo og gögnin sjálf. Vefstjóri býr til stafrænt þumalfingur af vottorðinu, undirritar það með DNSSEC og setur það í TLSA.
Viðskiptavinurinn tengist síðu á internetinu og ber vottorðið saman við „afritið“ sem berast frá DNS símafyrirtækinu. Ef þau passa saman, þá er auðlindin talin traust.
DANE wiki síðan gefur eftirfarandi dæmi um DNS beiðni til example.org á TCP tengi 443:
IN TLSA _443._tcp.example.orgSvarið lítur svona út:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE er með nokkrar viðbætur sem vinna með DNS færslur aðrar en TLSA. Sú fyrsta er SSHFP DNS skráin til að staðfesta lykla á SSH tengingum. Það er lýst í , и . Annað er OPENPGPKEY færslan fyrir lyklaskipti með PGP (). Að lokum, þriðja er SMIMEA skráin (staðallinn er ekki formlegur í RFC, það er ) fyrir dulmálslyklaskipti í gegnum S/MIME.
Hvað er vandamálið með DANE
Um miðjan maí var haldin DNS-OARC ráðstefnan (þetta er sjálfseignarstofnun sem fjallar um öryggi, stöðugleika og þróun lénakerfisins). Sérfræðingar á einu af pallborðunum að DANE tækni í vöfrum hafi brugðist (allavega í núverandi útfærslu). Viðstaddur ráðstefnuna Geoff Huston, Leading Research Scientist , einn af fimm svæðisbundnum netskrárstjórum, um DÖNSKA sem „dauða tækni“.
Vinsælir vafrar styðja ekki vottorðavottun með DANE. Á markaðnum , sem sýna virkni TLSA skráa, en einnig stuðning þeirra .
Vandamál með DANE dreifingu í vöfrum tengjast lengd DNSSEC staðfestingarferlisins. Kerfið neyðist til að gera dulmálsútreikninga til að staðfesta áreiðanleika SSL vottorðsins og fara í gegnum alla keðju DNS netþjóna (frá rótarsvæðinu til hýsillénsins) þegar fyrst er tengst við auðlind.
/unsplash/
Mozilla reyndi að koma í veg fyrir þennan galla með því að nota vélbúnaðinn fyrir TLS. Það átti að fækka DNS færslum sem viðskiptavinurinn þurfti að fletta upp við auðkenningu. Hins vegar kom upp ágreiningur innan þróunarhópsins sem ekki tókst að leysa. Fyrir vikið var hætt við verkefnið, þó að það hafi verið samþykkt af IETF í mars 2018.
Önnur ástæða fyrir litlum vinsældum DANE er lágt algengi DNSSEC í heiminum - . Sérfræðingar töldu að þetta væri ekki nóg til að kynna DANE virkan.
Líklegast mun iðnaðurinn þróast í aðra átt. Í stað þess að nota DNS til að sannreyna SSL/TLS vottorð, munu markaðsaðilar í staðinn kynna DNS-over-TLS (DoT) og DNS-over-HTTPS (DoH) samskiptareglur. Við nefndum hið síðarnefnda í einu af okkar á Habré. Þeir dulkóða og staðfesta notendabeiðnir til DNS-þjónsins, og koma í veg fyrir að árásarmenn geti falsað gögn. Í byrjun árs var DoT þegar til Google fyrir opinbera DNS þess. Hvað DANE varðar, á eftir að koma í ljós í framtíðinni hvort tæknin geti „komist aftur í hnakkinn“ og verður enn útbreidd.
Hvað annað höfum við til frekari lestrar:
Heimild: www.habr.com