Біз DNS көмегімен домендік атауларды аутентификациялауға арналған DANE технологиясының не екенін және ол браузерлерде неге кеңінен қолданылмайтыны туралы сөйлесеміз.
/Usplash/
DANE деген не
Сертификаттау орталықтары (CA) ұйымдар болып табылады криптографиялық сертификат . Олар өздерінің түпнұсқалығын растайтын электронды қолтаңбаларын қояды. Алайда, кейде анықтамалар бұзушылықтармен берілген жағдайлар туындайды. Мысалы, өткен жылы Google Symantec сертификаттарының ымыраға келуіне байланысты «сенімсіздік процедурасын» бастады (біз бұл оқиғаны блогымызда егжей-тегжейлі қарастырдық - и ).
Мұндай жағдайларды болдырмау үшін бірнеше жыл бұрын IETF DANE технологиясы (бірақ ол браузерлерде кеңінен қолданылмайды - бұл неліктен болғанын кейінірек айтатын боламыз).
DANE (DNS негізіндегі атаулы нысандардың аутентификациясы) – SSL сертификаттарының жарамдылығын бақылау үшін DNSSEC (Атау жүйесінің қауіпсіздік кеңейтімдері) пайдалануға мүмкіндік беретін спецификациялар жинағы. DNSSEC – мекенжайды бұрмалау шабуылдарын азайтатын домендік атаулар жүйесінің кеңейтімі. Осы екі технологияны пайдалана отырып, веб-шебер немесе клиент DNS аймағы операторларының бірімен байланысып, пайдаланылатын сертификаттың жарамдылығын растай алады.
Негізінде, DANE өздігінен қол қойылған сертификат ретінде әрекет етеді (оның сенімділігінің кепілі DNSSEC) және CA функцияларын толықтырады.
Бұл қалай жұмыс істейді
DANE спецификациясы мына бөлімде сипатталған . Құжатқа сәйкес, в жаңа түрі қосылды - TLSA. Ол тасымалданатын сертификат, тасымалданатын деректердің өлшемі мен түрі, сондай-ақ деректердің өзі туралы ақпаратты қамтиды. Веб-шебер сертификаттың сандық бас бармақ ізін жасайды, оған DNSSEC қол қояды және оны TLSA ішіне орналастырады.
Клиент Интернеттегі сайтқа қосылып, оның сертификатын DNS операторынан алынған «көшірмемен» салыстырады. Егер олар сәйкес келсе, ресурс сенімді болып саналады.
DANE вики беті TCP 443 портындағы example.org сайтына DNS сұрауының келесі мысалын береді:
IN TLSA _443._tcp.example.orgЖауап келесідей көрінеді:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE-де TLSA-дан басқа DNS жазбаларымен жұмыс істейтін бірнеше кеңейтімдер бар. Біріншісі - SSH қосылымдарындағы кілттерді тексеруге арналған SSHFP DNS жазбасы. Ол сипатталған , и . Екіншісі - PGP көмегімен кілт алмасуға арналған OPENPGPKEY жазбасы (). Соңында, үшінші - SMIMEA жазбасы (стандарт RFC-де ресімделмеген, бар ) S/MIME арқылы криптографиялық кілт алмасу үшін.
DANE-де қандай мәселе бар
Мамыр айының ортасында DNS-OARC конференциясы өтті (бұл қауіпсіздік, тұрақтылық және домендік атаулар жүйесінің дамуымен айналысатын коммерциялық емес ұйым). Панельдердің бірінде сарапшылар браузерлердегі DANE технологиясы сәтсіздікке ұшырады (кем дегенде оның қазіргі іске асырылуында). Конференцияға қатысқан Джефф Хьюстон, жетекші зерттеуші ғалым , бес аймақтық интернет-тіркеушінің бірі, DANE туралы «өлі технология» ретінде.
Танымал браузерлер DANE көмегімен сертификаттың аутентификациясын қолдамайды. Базарда , бұл TLSA жазбаларының функционалдығын ашады, сонымен қатар олардың қолдауын көрсетеді .
Браузерлерде DANE тарату проблемалары DNSSEC тексеру процесінің ұзақтығымен байланысты. Жүйе SSL сертификатының түпнұсқалығын растау үшін криптографиялық есептеулер жасауға және ресурсқа бірінші рет қосылған кезде DNS серверлерінің бүкіл тізбегі (түбірлік аймақтан хост доменіне дейін) арқылы өтуге мәжбүр.
/Usplash/
Mozilla бұл кемшілікті механизм арқылы жоюға тырысты TLS үшін. Бұл клиент аутентификация кезінде іздеуі керек DNS жазбаларының санын азайтуы керек еді. Дегенмен, даму тобының ішінде шешуге болмайтын келіспеушіліктер туындады. Нәтижесінде 2018 жылдың наурыз айында IETF мақұлдағанымен, жобадан бас тартылды.
DANE-тің төмен танымалдығының тағы бір себебі - әлемде DNSSEC-тің төмен таралуы - . Сарапшылар бұл DANE-ді белсенді түрде насихаттау үшін жеткіліксіз деп есептеді.
Сірә, сала басқа бағытта дамиды. SSL/TLS сертификаттарын тексеру үшін DNS пайдаланудың орнына нарық ойыншылары DNS-over-TLS (DoT) және DNS-over-HTTPS (DoH) протоколдарын алға жылжытады. Соңғысын біз бір мақаламызда айтқан болатынбыз Хабреде. Олар DNS серверіне пайдаланушы сұрауларын шифрлайды және тексереді, зиянкестердің деректерді бұрмалауына жол бермейді. Жылдың басында DoT болды Қоғамдық DNS үшін Google-ге. DANE-ге келетін болсақ, технология «ер-тұрманға қайта орала» ма және әлі де кең тарала ма, оны болашақта анықтау керек.
Қосымша оқу үшін бізде тағы не бар:
Ақпарат көзі: www.habr.com