Parliamo di cosa sia la tecnologia DANE per l'autenticazione dei nomi di dominio tramite DNS e perché non abbia avuto una diffusione significativa nei browser.
/ Unsplash /
Cos'è DANE
Gli enti di certificazione (CA) sono organizzazioni che forniscono certificati crittografici . Queste pongono la loro firma elettronica su di essi, confermando l'autenticità. Tuttavia, a volte sorgono situazioni in cui i certificati vengono emessi con violazioni. Ad esempio, l'anno scorso Google ha avviato una 'procedura di revoca della fiducia' nei confronti dei certificati Symantec a causa della loro compromissione (abbiamo trattato questa storia nel nostro blog — e ).
Per evitare tali situazioni, alcuni anni fa l'IETF la tecnologia DANE (ma non ha avuto una diffusione significativa nei browser — di questo parleremo in seguito).
DANE (Autenticazione Basata su DNS delle Entità Nominate) è un insieme di specifiche che consente di utilizzare DNSSEC (Extensions di Sicurezza del Sistema dei Nomini) per verificare l'affidabilità dei certificati SSL. DNSSEC è un'estensione per il sistema di nomi a dominio che minimizza gli attacchi legati all'alterazione degli indirizzi. Utilizzando queste due tecnologie, il webmaster o il cliente possono contattare uno degli operatori delle zone DNS e confermare la validità del certificato in uso.
In sostanza, DANE funge da certificato autofirmato (la cui affidabilità è garantita da DNSSEC) e integra le funzioni delle CA.
Come funziona
La specifica DANE è descritta nel . Secondo il documento, in è stato aggiunto un nuovo tipo — TLSA. Questo contiene informazioni sul certificato trasmesso, le dimensioni e il tipo dei dati trasmessi, oltre ai dati stessi. Il webmaster crea un'impronta digitale del certificato, la firma tramite DNSSEC e la pubblica in TLSA.
Il cliente si connette al sito web e confronta il certificato con una "copia" ricevuta dall'operatore DNS. Se coincidono, la risorsa è considerata fidata.
Nella pagina wiki di DANE è fornito il seguente esempio di richiesta DNS al server example.org sulla porta TCP 443:
IN TLSA _443._tcp.example.orgLa risposta appare così:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE ha diversi estensioni che lavorano con altre registrazioni DNS oltre a TLSA. La prima è la registrazione DNS SSHFP per la verifica delle chiavi durante le connessioni SSH. È descritta in , e . La seconda è la registrazione OPENPGPKEY per lo scambio di chiavi tramite PGP (). Infine, la terza è la registrazione SMIMEA (nello standard RFC non è formalizzata, c'è ) per lo scambio crittografico di chiavi tramite S/MIME.
Qual è il problema con DANE
A metà maggio si è tenuta la conferenza DNS-OARC (un'organizzazione non profit che si occupa di sicurezza, stabilità e sviluppo del sistema dei nomi di dominio). In uno dei panel, gli esperti , che la tecnologia DANE nei browser ha fallito (almeno nella sua attuale implementazione). Geoff Huston, principale ricercatore , uno dei cinque registratori internet regionali, di DANE come di una «tecnologia morta».
I browser più popolari non supportano l'autenticazione dei certificati tramite DANE. Sul mercato , che svelano le funzionalità delle registrazioni TLSA, ma anche il loro supporto .
I problemi di diffusione di DANE nei browser sono legati alla lunghezza del processo di convalida tramite DNSSEC. Il sistema deve effettuare calcoli crittografici per confermare l'autenticità del certificato SSL e seguire l'intera catena di server DNS (dalla zona radice fino al dominio dell'host) al primo collegamento con la risorsa.

/ Unsplash /
Questo difetto è stato tentato di essere risolto in Mozilla tramite il meccanismo per TLS. Questo avrebbe dovuto ridurre il numero di record DNS che il client doveva esaminare durante l'autenticazione. Tuttavia, sono sorte divergenze all'interno del gruppo di sviluppatori, che non sono state risolte. Alla fine, il progetto è stato abbandonato, anche se era stato approvato dall'IETF nel marzo 2018.
Un'altra ragione per la bassa popolarità di DANE è considerata la scarsa diffusione di DNSSEC nel mondo — . Gli esperti hanno ritenuto che questo non fosse sufficiente per una promozione attiva di DANE.
Probabilmente, l'industria si svilupperà in un'altra direzione. Invece di utilizzare il DNS per la verifica dei certificati SSL/TLS, gli attori del mercato, al contrario, promuoveranno i protocolli DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH). L'ultimo è stato menzionato in uno dei nostri su Habré. Questi protocolli crittografano e verificano le richieste degli utenti ai server DNS, impedendo ai malintenzionati di falsificare i dati. All'inizio dell'anno, DoT è già stato implementato da Google per il suo DNS pubblico. Per quanto riguarda DANE, se la tecnologia riuscirà a "ritornare in sella" e diventare comunque mainstream, dovremo aspettare per vedere.
Cosa abbiamo ancora per ulteriori letture:
![]()
![]()
![]()
![]()
![]()
![]()
![]()
Fonte: habr.com
