Mir schwätzen iwwer wat DANE Technologie ass fir Domain Nimm mat DNS ze authentifizéieren a firwat et net wäit an de Browser benotzt gëtt.
/Unsplash/
Wat ass DANE
Zertifizéierungsautoritéiten (CAs) sinn Organisatiounen déi cryptographic Zertifikat . Si hunn hir elektronesch Ënnerschrëft op hinnen gesat, hir Authentizitéit bestätegt. Wéi och ëmmer, heiansdo entstinn Situatiounen wann Certificaten mat Violatioune ausgestallt ginn. Zum Beispill, d'lescht Joer huet Google eng "Detrust Prozedur" fir Symantec Certificaten initiéiert wéinst hirem Kompromëss (mir hunn dës Geschicht am Detail an eisem Blog iwwerdeckt - и ).
Fir esou Situatiounen ze vermeiden, huet de IETF virun e puer Joer DANE Technologie (awer et ass net wäit an de Browser benotzt - mir schwätzen iwwer firwat dat spéider geschitt ass).
DANE (DNS-baséiert Authentifikatioun vun Named Entitéiten) ass eng Rei vu Spezifikatioune déi Iech erlaabt DNSSEC (Name System Security Extensions) ze benotzen fir d'Validitéit vun SSL Zertifikater ze kontrolléieren. DNSSEC ass eng Verlängerung vum Domain Name System déi Adress Spoofing Attacke miniméiert. Mat dësen zwou Technologien kann e Webmaster oder Client ee vun den DNS-Zonebetreiber kontaktéieren an d'Gëltegkeet vum Zertifika bestätegen.
Wesentlech handelt DANE als selbstënnerschriwwen Zertifika (de Garant vu senger Zouverlässegkeet ass DNSSEC) an ergänzt d'Funktioune vun engem CA.
Wéi heescht dat Aarbecht
D'DANE Spezifizéierung gëtt an . Geméiss dem Dokument, an eng nei Zort gouf dobäi - TLSA. Et enthält Informatioun iwwer de Certificat deen transferéiert gëtt, d'Gréisst an d'Zort vun den Donnéeën déi transferéiert ginn, souwéi d'Donnéeën selwer. De Webmaster erstellt en digitalen Daumofdrock vum Zertifika, ënnerschreift et mat DNSSEC a setzt se an der TLSA.
De Client verbënnt mat engem Site um Internet a vergläicht säin Zertifika mat der "Kopie" vum DNS Bedreiwer kritt. Wa se passen, da gëtt d'Ressource als vertraut ugesinn.
D'DANE Wiki Säit bitt dat folgend Beispill vun enger DNS Ufro un example.org um TCP Hafen 443:
IN TLSA _443._tcp.example.orgD'Äntwert gesäit esou aus:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE huet e puer Extensiounen déi mat DNS records anescht wéi TLSA schaffen. Déi éischt ass den SSHFP DNS Rekord fir Schlësselen op SSH Verbindungen ze validéieren. Et ass beschriwwen an , и . Déi zweet ass den OPENPGPKEY Entrée fir Schlësselaustausch mat PGP (). Schlussendlech ass den Drëtte de SMIMEA Rekord (de Standard ass net formaliséiert am RFC, et gëtt ) fir kryptografesch Schlësselaustausch iwwer S/MIME.
Wat ass de Problem mat DANE
Mëtt Mee gouf d'DNS-OARC Konferenz ofgehalen (dëst ass eng Asbl, déi sech mat Sécherheet, Stabilitéit an Entwécklung vum Domain Numm System beschäftegt). Experten op ee vun de Brieder datt DANE Technologie a Browser gescheitert ass (op d'mannst a senger aktueller Ëmsetzung). Presentéiert op der Konferenz Geoff Huston, Leading Research Scientist , ee vu fënnef regionalen Internetregistrateuren, iwwer DANE als "dout Technologie".
Populär Browser ënnerstëtzen net Zertifikat Authentifikatioun mat DANE. Um Maart , déi d'Funktionalitéit vun TLSA records weisen, awer och hir Ënnerstëtzung .
Problemer mat DANE Verdeelung an Browser sinn mat der Längt vun der DNSSEC Validatioun Prozess assoziéiert. De System ass gezwongen cryptographesch Berechnungen ze maachen fir d'Authentizitéit vum SSL Zertifika ze bestätegen an duerch d'ganz Kette vun DNS Serveren (vun der Root Zone bis zum Host Domain) duerch d'éischt mat enger Ressource ze verbannen.
/Unsplash/
Mozilla huet probéiert dësen Nodeel mam Mechanismus ze eliminéieren fir TLS. Et sollt d'Zuel vun den DNS-Records reduzéieren, déi de Client während der Authentifikatioun muss kucken. Am Entwécklungsgrupp sinn awer Meenungsverschiddenheeten entstanen, déi net konnte geléist ginn. Als Resultat gouf de Projet opginn, obwuel et vum IETF am Mäerz 2018 guttgeheescht gouf.
En anere Grond fir déi geréng Popularitéit vum DANE ass déi niddreg Prävalenz vun DNSSEC op der Welt - . D'Experten hu gefillt datt dëst net genuch wier fir d'DANE aktiv ze promoten.
Wahrscheinlech wäert d'Industrie an eng aner Richtung entwéckelen. Amplaz DNS ze benotzen fir SSL / TLS Zertifikater z'iwwerpréiwen, wäerte Maartspiller amplaz DNS-over-TLS (DoT) an DNS-over-HTTPS (DoH) Protokoller förderen. Mir ernimmt déi lescht an engem vun eisen op Habré. Si verschlësselen a verifizéieren d'Ufroe vun de Benotzer op den DNS-Server, verhënnert datt Ugräifer d'Daten spoofen. Am Ufank vum Joer war DoT schonn op Google fir seng Ëffentlech DNS. Wat den DANE ugeet, ob d'Technologie fäeg ass "zréck an de Suedel" ze kommen an nach ëmmer verbreet ze ginn, bleift an Zukunft ze gesinn.
Wat soss hu mir fir weider Liesen:
Source: will.com