Parliamo di cos'è la tecnologia DANE per l'autenticazione dei nomi di dominio tramite DNS e perché non è ampiamente utilizzata nei browser.
/Unsplash/
Cos'è DANE
Le autorità di certificazione (CA) sono organizzazioni che certificato crittografico . Hanno apposto la loro firma elettronica, confermandone l'autenticità. Tuttavia, a volte si verificano situazioni in cui i certificati vengono emessi con violazioni. Ad esempio, l'anno scorso Google ha avviato una "procedura di sfiducia" per i certificati Symantec a causa della loro compromissione (abbiamo trattato questa storia in dettaglio nel nostro blog - и ).
Per evitare tali situazioni, diversi anni fa l'IETF Tecnologia DANE (ma non è ampiamente utilizzata nei browser: ne parleremo più avanti).
DANE (DNS-based Authentication of Named Entities) è un insieme di specifiche che consente di utilizzare DNSSEC (Name System Security Extensions) per controllare la validità dei certificati SSL. DNSSEC è un'estensione del Domain Name System che riduce al minimo gli attacchi di spoofing degli indirizzi. Utilizzando queste due tecnologie, un webmaster o un cliente può contattare uno degli operatori della zona DNS e confermare la validità del certificato utilizzato.
DANE agisce essenzialmente come un certificato autofirmato (il garante della sua affidabilità è DNSSEC) e integra le funzioni di una CA.
Come funziona
La specifica DANE è descritta in . Secondo il documento, in è stato aggiunto un nuovo tipo: TLSA. Contiene informazioni sul certificato trasferito, sulla dimensione e sul tipo di dati trasferiti, nonché sui dati stessi. Il webmaster crea un'identificazione digitale del certificato, la firma con DNSSEC e la inserisce nel TLSA.
Il client si collega a un sito Internet e confronta il suo certificato con la “copia” ricevuta dall'operatore DNS. Se corrispondono, la risorsa è considerata attendibile.
La pagina wiki DANE fornisce il seguente esempio di richiesta DNS a example.org sulla porta TCP 443:
IN TLSA _443._tcp.example.orgLa risposta è simile a questa:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE ha diverse estensioni che funzionano con record DNS diversi da TLSA. Il primo è il record DNS SSHFP per la convalida delle chiavi sulle connessioni SSH. È descritto in , и . La seconda è la voce OPENPGPKEY per lo scambio di chiavi utilizzando PGP (). Il terzo, infine, è il record SMIMEA (lo standard non è formalizzato nella RFC, esiste ) per lo scambio di chiavi crittografiche tramite S/MIME.
Qual è il problema con DANE
A metà maggio si è tenuta la conferenza DNS-OARC (si tratta di un'organizzazione no-profit che si occupa di sicurezza, stabilità e sviluppo del sistema dei nomi di dominio). Esperti su uno dei pannelli che la tecnologia DANE nei browser ha fallito (almeno nella sua attuale implementazione). Presente alla conferenza Geoff Huston, Leading Research Scientist , uno dei cinque registrar Internet regionali, su DANE come una “tecnologia morta”.
I browser più diffusi non supportano l'autenticazione del certificato utilizzando DANE. Sul mercato , che rivelano la funzionalità dei record TLSA, ma anche il loro supporto .
I problemi con la distribuzione DANE nei browser sono associati alla lunghezza del processo di convalida DNSSEC. Il sistema è costretto a effettuare calcoli crittografici per confermare l'autenticità del certificato SSL e attraversare l'intera catena di server DNS (dalla zona root al dominio host) quando si connette per la prima volta a una risorsa.
/Unsplash/
Mozilla ha cercato di eliminare questo inconveniente utilizzando il meccanismo per TLS. Avrebbe dovuto ridurre il numero di record DNS che il client doveva cercare durante l'autenticazione. Tuttavia, all'interno del gruppo di sviluppo sono sorti disaccordi che non è stato possibile risolvere. Di conseguenza, il progetto è stato abbandonato, sebbene sia stato approvato dall’IETF nel marzo 2018.
Un altro motivo della scarsa popolarità di DANE è la bassa prevalenza di DNSSEC nel mondo: . Gli esperti ritengono che ciò non sia sufficiente per promuovere attivamente DANE.
Molto probabilmente, il settore si svilupperà in una direzione diversa. Invece di utilizzare il DNS per verificare i certificati SSL/TLS, gli operatori del mercato promuoveranno invece i protocolli DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH). Abbiamo menzionato quest'ultimo in uno dei nostri su Habré. Crittografano e verificano le richieste degli utenti al server DNS, impedendo agli aggressori di falsificare i dati. All'inizio dell'anno DoT lo era già a Google per il suo DNS pubblico. Per quanto riguarda DANE, resta da vedere in futuro se la tecnologia sarà in grado di “rimontare in sella” e diffondersi ancora.
Cos'altro abbiamo per ulteriori letture:
Fonte: habr.com