Si dice che la tecnologia DANE per i browser abbia fallito

Parliamo di cosa sia la tecnologia DANE per l'autenticazione dei nomi di dominio tramite DNS e perché non abbia avuto una diffusione significativa nei browser.

Si dice che la tecnologia DANE per i browser abbia fallito
/ Unsplash / Paulius Dragunas

Cos'è DANE

Gli enti di certificazione (CA) sono organizzazioni che anche presso la National Quantum Initiative americana. forniscono certificati crittografici certificati SSL. Queste pongono la loro firma elettronica su di essi, confermando l'autenticità. Tuttavia, a volte sorgono situazioni in cui i certificati vengono emessi con violazioni. Ad esempio, l'anno scorso Google ha avviato una 'procedura di revoca della fiducia' nei confronti dei certificati Symantec a causa della loro compromissione (abbiamo trattato questa storia nel nostro blog — una volta e due volte).

Per evitare tali situazioni, alcuni anni fa l'IETF ha iniziato a sviluppare la tecnologia DANE (ma non ha avuto una diffusione significativa nei browser — di questo parleremo in seguito).

DANE (Autenticazione Basata su DNS delle Entità Nominate) è un insieme di specifiche che consente di utilizzare DNSSEC (Extensions di Sicurezza del Sistema dei Nomini) per verificare l'affidabilità dei certificati SSL. DNSSEC è un'estensione per il sistema di nomi a dominio che minimizza gli attacchi legati all'alterazione degli indirizzi. Utilizzando queste due tecnologie, il webmaster o il cliente possono contattare uno degli operatori delle zone DNS e confermare la validità del certificato in uso.

In sostanza, DANE funge da certificato autofirmato (la cui affidabilità è garantita da DNSSEC) e integra le funzioni delle CA.

Come funziona

La specifica DANE è descritta nel RFC6698. Secondo il documento, in record DNS è stato aggiunto un nuovo tipo — TLSA. Questo contiene informazioni sul certificato trasmesso, le dimensioni e il tipo dei dati trasmessi, oltre ai dati stessi. Il webmaster crea un'impronta digitale del certificato, la firma tramite DNSSEC e la pubblica in TLSA.

Il cliente si connette al sito web e confronta il certificato con una "copia" ricevuta dall'operatore DNS. Se coincidono, la risorsa è considerata fidata.

Nella pagina wiki di DANE è fornito il seguente esempio di richiesta DNS al server example.org sulla porta TCP 443:

IN TLSA _443._tcp.example.org

La risposta appare così:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE ha diversi estensioni che lavorano con altre registrazioni DNS oltre a TLSA. La prima è la registrazione DNS SSHFP per la verifica delle chiavi durante le connessioni SSH. È descritta in RFC4255RFC6594 e RFC7479. La seconda è la registrazione OPENPGPKEY per lo scambio di chiavi tramite PGP (RFC7929). Infine, la terza è la registrazione SMIMEA (nello standard RFC non è formalizzata, c'è solo una sua bozza) per lo scambio crittografico di chiavi tramite S/MIME.

Qual è il problema con DANE

A metà maggio si è tenuta la conferenza DNS-OARC (un'organizzazione non profit che si occupa di sicurezza, stabilità e sviluppo del sistema dei nomi di dominio). In uno dei panel, gli esperti hanno concluso, che la tecnologia DANE nei browser ha fallito (almeno nella sua attuale implementazione). Geoff Huston, principale ricercatore APNIC, uno dei cinque registratori internet regionali, ha parlato di DANE come di una «tecnologia morta».

I browser più popolari non supportano l'autenticazione dei certificati tramite DANE. Sul mercato si possono trovare plugin specializzati, che svelano le funzionalità delle registrazioni TLSA, ma anche il loro supporto sta gradualmente diminuendo.

I problemi di diffusione di DANE nei browser sono legati alla lunghezza del processo di convalida tramite DNSSEC. Il sistema deve effettuare calcoli crittografici per confermare l'autenticità del certificato SSL e seguire l'intera catena di server DNS (dalla zona radice fino al dominio dell'host) al primo collegamento con la risorsa.

Si dice che la tecnologia DANE per i browser abbia fallito
/ Unsplash / Kaley Dykstra

Questo difetto è stato tentato di essere risolto in Mozilla tramite il meccanismo DNSSEC Chain Extension per TLS. Questo avrebbe dovuto ridurre il numero di record DNS che il client doveva esaminare durante l'autenticazione. Tuttavia, sono sorte divergenze all'interno del gruppo di sviluppatori, che non sono state risolte. Alla fine, il progetto è stato abbandonato, anche se era stato approvato dall'IETF nel marzo 2018.

Un'altra ragione per la bassa popolarità di DANE è considerata la scarsa diffusione di DNSSEC nel mondo — solo il 19% delle risorse. Gli esperti hanno ritenuto che questo non fosse sufficiente per una promozione attiva di DANE.

Probabilmente, l'industria si svilupperà in un'altra direzione. Invece di utilizzare il DNS per la verifica dei certificati SSL/TLS, gli attori del mercato, al contrario, promuoveranno i protocolli DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH). L'ultimo è stato menzionato in uno dei nostri precedenti materiali su Habré. Questi protocolli crittografano e verificano le richieste degli utenti ai server DNS, impedendo ai malintenzionati di falsificare i dati. All'inizio dell'anno, DoT è già è stato implementato stato implementato da Google per il suo DNS pubblico. Per quanto riguarda DANE, se la tecnologia riuscirà a "ritornare in sella" e diventare comunque mainstream, dovremo aspettare per vedere.

Cosa abbiamo ancora per ulteriori letture:

Si dice che la tecnologia DANE per i browser abbia fallito Come automatizzare la gestione dell'infrastruttura IT - discutiamo tre tendenze
Si dice che la tecnologia DANE per i browser abbia fallito JMAP — il protocollo aperto che sostituirà l'IMAP per lo scambio di email

Si dice che la tecnologia DANE per i browser abbia fallito Come risparmiare utilizzando un'interfaccia API
Si dice che la tecnologia DANE per i browser abbia fallito DevOps nel servizio cloud: l'esempio di 1cloud.ru
Si dice che la tecnologia DANE per i browser abbia fallito L'evoluzione dell'architettura cloud di 1cloud

Si dice che la tecnologia DANE per i browser abbia fallito Come funziona il supporto tecnico di 1cloud
Si dice che la tecnologia DANE per i browser abbia fallito Miti sulle tecnologie cloud

Fonte: habr.com

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster