Sertifikācijas iestādes (CA) ir organizācijas, kas ir saderinājušies kriptogrāfijas sertifikāts SSL sertifikāti. Viņi uzlika tiem savu elektronisko parakstu, apstiprinot to autentiskumu. Tomēr dažkārt rodas situācijas, kad izziņas tiek izsniegtas ar pārkāpumiem. Piemēram, pagājušajā gadā Google uzsāka Symantec sertifikātu “uzticēšanās procedūru” to kompromitēšanas dēļ (šo stāstu mēs detalizēti aprakstījām mūsu emuārā - laiks и два).
Lai izvairītos no šādām situācijām, pirms vairākiem gadiem IETF sāka attīstīties DANE tehnoloģija (bet tā netiek plaši izmantota pārlūkprogrammās - par to, kāpēc tas notika, mēs runāsim vēlāk).
DANE (DNS balstīta nosaukto entītiju autentifikācija) ir specifikāciju kopa, kas ļauj izmantot DNSSEC (nosaukumu sistēmas drošības paplašinājumus), lai kontrolētu SSL sertifikātu derīgumu. DNSSEC ir domēna vārdu sistēmas paplašinājums, kas samazina adrešu viltošanas uzbrukumus. Izmantojot šīs divas tehnoloģijas, tīmekļa pārzinis vai klients var sazināties ar kādu no DNS zonas operatoriem un apstiprināt izmantotā sertifikāta derīgumu.
Būtībā DANE darbojas kā pašparakstīts sertifikāts (tā uzticamības garants ir DNSSEC) un papildina CA funkcijas.
Kā tas darbojas
DANE specifikācija ir aprakstīta RFC6698. Saskaņā ar dokumentu, in DNS resursu ieraksti tika pievienots jauns veids - TLSA. Tajā ir informācija par pārsūtāmo sertifikātu, pārsūtāmo datu lielumu un veidu, kā arī pašiem datiem. Tīmekļa pārzinis izveido sertifikāta digitālo īkšķa nospiedumu, paraksta to ar DNSSEC un ievieto TLSA.
Klients izveido savienojumu ar vietni internetā un salīdzina tā sertifikātu ar “kopiju”, kas saņemta no DNS operatora. Ja tie atbilst, resurss tiek uzskatīts par uzticamu.
DANE wiki lapa sniedz šādu DNS pieprasījuma piemēru example.org TCP portā 443:
IN TLSA _443._tcp.example.org
Atbilde izskatās šādi:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE ir vairāki paplašinājumi, kas darbojas ar citiem DNS ierakstiem, nevis TLSA. Pirmais ir SSHFP DNS ieraksts atslēgu apstiprināšanai SSH savienojumiem. Tas ir aprakstīts RFC4255, RFC6594 и RFC7479. Otrais ir OPENPGPKEY ieraksts atslēgu apmaiņai, izmantojot PGP (RFC7929). Visbeidzot, trešais ir SMIMEA ieraksts (standarts RFC nav formalizēts, tas ir tikai tā melnraksts) kriptogrāfisko atslēgu apmaiņai, izmantojot S/MIME.
Kādas problēmas ar DANE
Maija vidū notika DNS-OARC konference (šī ir bezpeļņas organizācija, kas nodarbojas ar domēna vārdu sistēmas drošību, stabilitāti un attīstību). Eksperti vienā no paneļiem nonāca pie secinājumaka DANE tehnoloģija pārlūkprogrammās ir izgāzusies (vismaz tās pašreizējā realizācijā). Klāt konferencē Geoff Huston, Leading Research Scientist APNIC, viens no pieciem reģionālajiem interneta reģistratoriem, atbildēja par DANE kā “mirušo tehnoloģiju”.
Populāras pārlūkprogrammas neatbalsta sertifikātu autentifikāciju, izmantojot DANE. Tirgū ir īpaši spraudņi, kas atklāj TLSA ierakstu funkcionalitāti, bet arī to atbalstu pakāpeniski apstāties.
Problēmas ar DANE izplatīšanu pārlūkprogrammās ir saistītas ar DNSSEC validācijas procesa ilgumu. Sistēma ir spiesta veikt kriptogrāfiskus aprēķinus, lai apstiprinātu SSL sertifikāta autentiskumu un iziet cauri visai DNS serveru ķēdei (no saknes zonas līdz resursdatora domēnam), pirmo reizi pieslēdzoties resursam.
Mozilla mēģināja novērst šo trūkumu, izmantojot mehānismu DNSSEC ķēdes paplašinājums par TLS. Tam bija jāsamazina DNS ierakstu skaits, kas klientam bija jāmeklē autentifikācijas laikā. Taču izstrādes grupas iekšienē radās domstarpības, kuras nevarēja atrisināt. Rezultātā projekts tika pamests, lai gan IETF to apstiprināja 2018. gada martā.
Vēl viens DANE zemās popularitātes iemesls ir DNSSEC zemā izplatība pasaulē - ar to strādā tikai 19% resursu. Eksperti uzskatīja, ka ar to nepietiek, lai aktīvi reklamētu DANE.
Visticamāk, nozare attīstīsies citā virzienā. Tā vietā, lai izmantotu DNS, lai pārbaudītu SSL/TLS sertifikātus, tirgus dalībnieki tā vietā reklamēs DNS-over-TLS (DoT) un DNS-over-HTTPS (DoH) protokolus. Mēs pieminējām pēdējo vienā no mūsu iepriekšējie materiāli uz Habrē. Tie šifrē un pārbauda lietotāju pieprasījumus DNS serverim, neļaujot uzbrucējiem viltot datus. Gada sākumā DoT jau bija īstenoti Google, lai iegūtu publisko DNS. Kas attiecas uz DANE, tas, vai tehnoloģija spēs “atgriezties seglos” un joprojām kļūs plaši izplatīta, vēl ir redzams nākotnē.