브라우저용 DANE 기술이 실패했다는 의견이 있습니다.

DNS를 사용하여 도메인 이름을 인증하는 DANE 기술이 무엇인지, 그리고 브라우저에서 널리 사용되지 않는 이유에 대해 이야기합니다.

/언스플래쉬/ 파울리우스 드라구나스

DANE이란 무엇입니까?

CA(인증 기관)는 다음을 수행하는 조직입니다. 종사하다 암호화 인증서 SSL 인증서. 그들은 전자 서명을 하여 진위 여부를 확인했습니다. 그러나 때로는 위반 사항이 있는 인증서가 발급되는 상황이 발생합니다. 예를 들어, 작년에 Google은 손상으로 인해 Symantec 인증서에 대한 "신뢰 취소 절차"를 시작했습니다. (이 이야기는 블로그에서 자세히 다루었습니다. 시간 и два).

이러한 상황을 방지하기 위해 몇 년 전 IETF에서는 개발을 시작했습니다 DANE 기술(그러나 브라우저에서는 널리 사용되지 않습니다. 왜 이런 일이 발생했는지 나중에 설명하겠습니다).

DANE(DNS-based Authentication of Named Entities)은 DNSSEC(Name System Security Extensions)를 사용하여 SSL 인증서의 유효성을 제어할 수 있는 사양 세트입니다. DNSSEC는 주소 스푸핑 공격을 최소화하는 도메인 이름 시스템의 확장입니다. 이 두 가지 기술을 사용하여 웹마스터나 클라이언트는 DNS 영역 운영자 중 한 명에게 연락하여 사용 중인 인증서의 유효성을 확인할 수 있습니다.

기본적으로 DANE은 자체 서명된 인증서(신뢰성을 보장하는 것은 DNSSEC임) 역할을 하며 CA의 기능을 보완합니다.

이거 어떻게 작동 시켜요

DANE 사양은 다음에 설명되어 있습니다. RFC6698. 문서에 따르면, DNS 리소스 레코드 새로운 유형인 TLSA가 추가되었습니다. 여기에는 전송되는 인증서, 전송되는 데이터의 크기 및 유형, 데이터 자체에 대한 정보가 포함됩니다. 웹마스터는 인증서의 디지털 지문을 생성하고 이를 DNSSEC로 서명한 후 TLSA에 배치합니다.

클라이언트는 인터넷 사이트에 연결하고 해당 인증서를 DNS 운영자로부터 받은 "사본"과 비교합니다. 일치하면 해당 리소스는 신뢰할 수 있는 것으로 간주됩니다.

DANE 위키 페이지는 TCP 포트 443에서 example.org에 대한 다음과 같은 DNS 요청 예를 제공합니다.

IN TLSA _443._tcp.example.org

대답은 다음과 같습니다.

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE에는 TLSA 이외의 DNS 레코드와 작동하는 여러 확장 기능이 있습니다. 첫 번째는 SSH 연결에서 키 유효성을 검사하기 위한 SSHFP DNS 레코드입니다. 에 설명되어 있습니다. RFC4255, RFC6594 и RFC7479. 두 번째는 PGP를 사용한 키 교환을 위한 OPENPGPKEY 항목입니다(RFC7929). 마지막으로 세 번째는 SMIMEA 레코드입니다(표준은 RFC에 공식화되어 있지 않습니다. 단지 초안일 뿐이야) S/MIME을 통한 암호화 키 교환을 위한 것입니다.

DANE의 문제점은 무엇입니까?

XNUMX월 중순에는 DNS-OARC 컨퍼런스(도메인 이름 시스템의 보안, 안정성, 개발을 다루는 비영리 단체)가 열렸습니다. 패널 중 하나의 전문가 결론에 도달브라우저의 DANE 기술이 실패했습니다(적어도 현재 구현에서는). 컨퍼런스에 참석한 선두 연구 과학자 Geoff Huston APNIC, XNUMX개 지역 인터넷 등록 기관 중 하나, 대답했다 DANE을 "죽은 기술"이라고 생각합니다.

널리 사용되는 브라우저는 DANE을 사용한 인증서 인증을 지원하지 않습니다. 시장에 특별한 플러그인이 있습니다, TLSA 레코드의 기능뿐만 아니라 지원도 공개합니다. 서서히 멈추다.

브라우저의 DANE 배포 문제는 DNSSEC 검증 프로세스의 기간과 관련이 있습니다. 시스템은 SSL 인증서의 신뢰성을 확인하고 리소스에 처음 연결할 때 전체 DNS 서버 체인(루트 영역에서 호스트 도메인까지)을 통과하기 위해 암호화 계산을 수행해야 합니다.

/언스플래쉬/ 칼리 다익스트라

Mozilla는 메커니즘을 사용하여 이러한 단점을 제거하려고 했습니다. DNSSEC 체인 확장 TLS의 경우. 클라이언트가 인증 중에 조회해야 하는 DNS 레코드 수를 줄이기 위한 것이었습니다. 그러나 개발그룹 내부에서는 해결되지 않는 이견이 발생했다. 결과적으로 해당 프로젝트는 2018년 XNUMX월 IETF의 승인을 받았음에도 불구하고 폐기되었습니다.

DANE의 인기가 낮은 또 다른 이유는 전 세계적으로 DNSSEC의 보급률이 낮기 때문입니다. 리소스의 19%만이 이를 사용합니다.. 전문가들은 이것이 DANE을 적극적으로 홍보하기에는 충분하지 않다고 느꼈습니다.

아마도 업계는 다른 방향으로 발전할 것입니다. SSL/TLS 인증서를 확인하기 위해 DNS를 사용하는 대신, 시장 참여자들은 DoT(DNS-over-TLS) 및 DoH(DNS-over-HTTPS) 프로토콜을 홍보할 것입니다. 우리는 우리 중 하나에서 후자를 언급했습니다. 이전 자료 하브레에. DNS 서버에 대한 사용자 요청을 암호화하고 확인하여 공격자가 데이터를 스푸핑하는 것을 방지합니다. 연초에 DoT는 이미 구현 공개 DNS를 Google에 제공합니다. DANE의 경우, 기술이 "다시 안장으로 돌아가서" 여전히 널리 보급될 수 있을지 여부는 앞으로도 지켜봐야 할 문제입니다.

더 읽어볼 내용은 다음과 같습니다.

IT 인프라 관리를 자동화하는 방법 - 세 가지 동향 논의
JMAP - 이메일 교환 시 IMAP을 대체할 개방형 프로토콜

응용 프로그래밍 인터페이스를 사용하여 저장하는 방법
1cloud.ru의 예를 사용한 클라우드 서비스의 DevOps
클라우드 아키텍처의 진화 1cloud

1cloud 기술지원은 어떻게 진행되나요?
클라우드 기술에 대한 오해

출처 : habr.com