Kita ngomong babagan apa teknologi DANE kanggo otentikasi jeneng domain nggunakake DNS lan kenapa ora akeh digunakake ing browser.
/Unsplash/
Apa iku DANE
Otoritas Sertifikasi (CA) yaiku organisasi sing sertifikat kriptografi . Padha sijine tandha elektronik ing wong, konfirmasi keasliane. Nanging, kadhangkala ana kahanan nalika sertifikat ditanggepi karo pelanggaran. Contone, taun kepungkur Google miwiti "prosedur detrust" kanggo sertifikat Symantec amarga kompromi (kita nutupi crita iki kanthi rinci ing blog kita - ΠΈ ).
Kanggo ngindhari kahanan kaya ngono, sawetara taun kepungkur IETF Teknologi DANE (nanging ora akeh digunakake ing browser - kita bakal ngomong apa iki kedadeyan mengko).
DANE (DNS-based Authentication of Named Entities) yaiku sakumpulan spesifikasi sing ngidini sampeyan nggunakake DNSSEC (Ekstensi Keamanan Sistem Jeneng) kanggo ngontrol validitas sertifikat SSL. DNSSEC minangka ekstensi kanggo Sistem Jeneng Domain sing nyuda serangan spoofing alamat. Nggunakake rong teknologi kasebut, webmaster utawa klien bisa ngubungi salah sawijining operator zona DNS lan konfirmasi kesahihan sertifikat sing digunakake.
Ateges, DANE tumindak minangka sertifikat sing ditandatangani dhewe (penjamin linuwih yaiku DNSSEC) lan nglengkapi fungsi CA.
Carane ora karya iki
Spesifikasi DANE diterangake ing . Miturut dokumen kasebut, ing jinis anyar ditambahake - TLSA. Isine informasi babagan sertifikat sing ditransfer, ukuran lan jinis data sing ditransfer, uga data kasebut dhewe. Webmaster nggawe cap jempol digital sertifikat, mlebu nganggo DNSSEC, lan nyelehake ing TLSA.
Klien nyambung menyang situs ing Internet lan mbandhingake sertifikat karo "salinan" sing ditampa saka operator DNS. Yen padha cocog, banjur sumber daya dianggep dipercaya.
Kaca wiki DANE nyedhiyakake conto panjalukan DNS ing conto.org ing port TCP 443:
IN TLSA _443._tcp.example.orgJawaban katon kaya iki:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE duwe sawetara ekstensi sing bisa digunakake karo cathetan DNS saliyane TLSA. Kapisan yaiku rekaman DNS SSHFP kanggo validasi kunci ing sambungan SSH. Punika diterangake ing , ΠΈ . Kapindho yaiku entri OPENPGPKEY kanggo ijol-ijolan kunci nggunakake PGP (). Pungkasan, sing nomer telu yaiku rekaman SMIMEA (standar kasebut ora resmi ing RFC, ana ) kanggo ijol-ijolan kunci kriptografi liwat S/MIME.
Apa masalah karo DANE
Ing pertengahan Mei, konferensi DNS-OARC dianakake (iki minangka organisasi nirlaba sing ngurusi keamanan, stabilitas lan pangembangan sistem jeneng domain). Pakar ing salah sawijining panel yen teknologi DANE ing browser wis gagal (paling ora ing implementasine saiki). Saiki ing konferensi Geoff Huston, Ilmuwan Riset Utama , salah siji saka limang pendaftar Internet regional, babagan DANE minangka "teknologi mati".
Browser populer ora ndhukung otentikasi sertifikat nggunakake DANE. Ing pasar , sing mbukak fungsi rekaman TLSA, nanging uga dhukungan .
Masalah distribusi DANE ing browser digandhengake karo dawa proses validasi DNSSEC. Sistem kasebut dipeksa nggawe kalkulasi kriptografi kanggo ngonfirmasi keaslian sertifikat SSL lan ngliwati kabeh rantai server DNS (saka zona root menyang domain inang) nalika pisanan nyambung menyang sumber daya.
/Unsplash/
Mozilla nyoba ngilangi kekurangan iki kanthi nggunakake mekanisme kasebut kanggo TLS. Mesthine nyuda jumlah cathetan DNS sing kudu dideleng klien sajrone otentikasi. Nanging, perselisihan muncul ing klompok pangembangan sing ora bisa dirampungake. AkibatΓ©, proyek kasebut ditinggal, sanajan disetujoni IETF ing Maret 2018.
Alesan liya kanggo popularitas DANE sing kurang yaiku prevalensi DNSSEC sing kurang ing saindenging jagad - . Para ahli nganggep manawa iki ora cukup kanggo promosi DANE kanthi aktif.
Paling kamungkinan, industri bakal berkembang ing arah sing beda. Tinimbang nggunakake DNS kanggo verifikasi sertifikat SSL/TLS, pemain pasar malah bakal ningkatake protokol DNS-over-TLS (DoT) lan DNS-over-HTTPS (DoH). Kita kasebut sing terakhir ing salah sawijining ing HabrΓ©. Dheweke ndhelik lan verifikasi panjaluk pangguna menyang server DNS, nyegah panyerang saka spoofing data. Ing awal taun, DoT wis ana menyang Google kanggo DNS Publik. Kanggo DANE, apa teknologi kasebut bakal bisa "bali menyang pelana" lan isih nyebar isih bakal katon ing mangsa ngarep.
Apa maneh sing kudu diwaca:
Source: www.habr.com