Mēs runājam par to, kas ir DANE tehnoloģija domēna vārdu autentificēšanai, izmantojot DNS, un kāpēc tā netiek plaši izmantota pārlūkprogrammās.
/Unsplash/
Kas ir DĀNE
Sertifikācijas iestādes (CA) ir organizācijas, kas kriptogrāfijas sertifikāts . Viņi uzlika tiem savu elektronisko parakstu, apstiprinot to autentiskumu. Tomēr dažkārt rodas situācijas, kad izziņas tiek izsniegtas ar pārkāpumiem. Piemēram, pagājušajā gadā Google uzsāka Symantec sertifikātu “uzticēšanās procedūru” to kompromitēšanas dēļ (šo stāstu mēs detalizēti aprakstījām mūsu emuārā - и ).
Lai izvairītos no šādām situācijām, pirms vairākiem gadiem IETF DANE tehnoloģija (bet tā netiek plaši izmantota pārlūkprogrammās - par to, kāpēc tas notika, mēs runāsim vēlāk).
DANE (DNS balstīta nosaukto entītiju autentifikācija) ir specifikāciju kopa, kas ļauj izmantot DNSSEC (nosaukumu sistēmas drošības paplašinājumus), lai kontrolētu SSL sertifikātu derīgumu. DNSSEC ir domēna vārdu sistēmas paplašinājums, kas samazina adrešu viltošanas uzbrukumus. Izmantojot šīs divas tehnoloģijas, tīmekļa pārzinis vai klients var sazināties ar kādu no DNS zonas operatoriem un apstiprināt izmantotā sertifikāta derīgumu.
Būtībā DANE darbojas kā pašparakstīts sertifikāts (tā uzticamības garants ir DNSSEC) un papildina CA funkcijas.
Kā tas darbojas
DANE specifikācija ir aprakstīta . Saskaņā ar dokumentu, in tika pievienots jauns veids - TLSA. Tajā ir informācija par pārsūtāmo sertifikātu, pārsūtāmo datu lielumu un veidu, kā arī pašiem datiem. Tīmekļa pārzinis izveido sertifikāta digitālo īkšķa nospiedumu, paraksta to ar DNSSEC un ievieto TLSA.
Klients izveido savienojumu ar vietni internetā un salīdzina tā sertifikātu ar “kopiju”, kas saņemta no DNS operatora. Ja tie atbilst, resurss tiek uzskatīts par uzticamu.
DANE wiki lapa sniedz šādu DNS pieprasījuma piemēru example.org TCP portā 443:
IN TLSA _443._tcp.example.orgAtbilde izskatās šādi:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE ir vairāki paplašinājumi, kas darbojas ar citiem DNS ierakstiem, nevis TLSA. Pirmais ir SSHFP DNS ieraksts atslēgu apstiprināšanai SSH savienojumiem. Tas ir aprakstīts , и . Otrais ir OPENPGPKEY ieraksts atslēgu apmaiņai, izmantojot PGP (). Visbeidzot, trešais ir SMIMEA ieraksts (standarts RFC nav formalizēts, tas ir ) kriptogrāfisko atslēgu apmaiņai, izmantojot S/MIME.
Kādas problēmas ar DANE
Maija vidū notika DNS-OARC konference (šī ir bezpeļņas organizācija, kas nodarbojas ar domēna vārdu sistēmas drošību, stabilitāti un attīstību). Eksperti vienā no paneļiem ka DANE tehnoloģija pārlūkprogrammās ir izgāzusies (vismaz tās pašreizējā realizācijā). Klāt konferencē Geoff Huston, Leading Research Scientist , viens no pieciem reģionālajiem interneta reģistratoriem, par DANE kā “mirušo tehnoloģiju”.
Populāras pārlūkprogrammas neatbalsta sertifikātu autentifikāciju, izmantojot DANE. Tirgū , kas atklāj TLSA ierakstu funkcionalitāti, bet arī to atbalstu .
Problēmas ar DANE izplatīšanu pārlūkprogrammās ir saistītas ar DNSSEC validācijas procesa ilgumu. Sistēma ir spiesta veikt kriptogrāfiskus aprēķinus, lai apstiprinātu SSL sertifikāta autentiskumu un iziet cauri visai DNS serveru ķēdei (no saknes zonas līdz resursdatora domēnam), pirmo reizi pieslēdzoties resursam.
/Unsplash/
Mozilla mēģināja novērst šo trūkumu, izmantojot mehānismu par TLS. Tam bija jāsamazina DNS ierakstu skaits, kas klientam bija jāmeklē autentifikācijas laikā. Taču izstrādes grupas iekšienē radās domstarpības, kuras nevarēja atrisināt. Rezultātā projekts tika pamests, lai gan IETF to apstiprināja 2018. gada martā.
Vēl viens DANE zemās popularitātes iemesls ir DNSSEC zemā izplatība pasaulē - . Eksperti uzskatīja, ka ar to nepietiek, lai aktīvi reklamētu DANE.
Visticamāk, nozare attīstīsies citā virzienā. Tā vietā, lai izmantotu DNS, lai pārbaudītu SSL/TLS sertifikātus, tirgus dalībnieki tā vietā reklamēs DNS-over-TLS (DoT) un DNS-over-HTTPS (DoH) protokolus. Mēs pieminējām pēdējo vienā no mūsu uz Habrē. Tie šifrē un pārbauda lietotāju pieprasījumus DNS serverim, neļaujot uzbrucējiem viltot datus. Gada sākumā DoT jau bija Google, lai iegūtu publisko DNS. Kas attiecas uz DANE, tas, vai tehnoloģija spēs “atgriezties seglos” un joprojām kļūs plaši izplatīta, vēl ir redzams nākotnē.
Kas vēl mums ir tālākai lasīšanai:
Avots: www.habr.com