Зборуваме за тоа што е технологијата DANE за автентикација на имиња на домени со користење на DNS и зошто таа не е широко користена во прелистувачите.
/Unsplash/
Што е ДАНЕ
Органите за сертификација (АС) се организации кои криптографски сертификат . Тие го ставија својот електронски потпис, потврдувајќи ја нивната автентичност. Меѓутоа, понекогаш се појавуваат ситуации кога се издаваат сертификати со прекршоци. На пример, минатата година Google иницираше „процедура за недоверба“ за сертификатите на Symantec поради нивниот компромис (детално ја опфативме оваа приказна во нашиот блог - и ).
За да се избегнат ваквите ситуации, пред неколку години IETF Технологијата DANE (но не е широко користена во прелистувачите - ќе зборуваме зошто тоа се случи подоцна).
DANE (DNS-базирана автентикација на именувани ентитети) е збир на спецификации што ви овозможува да користите DNSSEC (Наставки за безбедност на системот за име) за да ја контролирате валидноста на SSL сертификатите. DNSSEC е екстензија на системот за имиња на домени што ги минимизира нападите за измама на адреси. Користејќи ги овие две технологии, веб-администраторот или клиентот може да контактира со еден од операторите на DNS зоната и да ја потврди валидноста на сертификатот што се користи.
Во суштина, DANE делува како самопотпишан сертификат (гарант за неговата доверливост е DNSSEC) и ги надополнува функциите на CA.
Како го прави ова дело
Спецификацијата DANE е опишана во . Според документот, во додаден е нов тип - TLSA. Содржи информации за сертификатот што се пренесува, големината и видот на податоците што се пренесуваат, како и за самите податоци. Веб-администраторот создава дигитален отпечаток на сертификатот, го потпишува со DNSSEC и го става во TLSA.
Клиентот се поврзува со страница на Интернет и го споредува неговиот сертификат со „копијата“ добиена од операторот DNS. Ако се совпаѓаат, тогаш ресурсот се смета за доверлив.
Вики страницата DANE го дава следниов пример за барање DNS до example.org на TCP портата 443:
IN TLSA _443._tcp.example.orgОдговорот изгледа вака:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE има неколку екстензии кои работат со записи DNS освен TLSA. Првиот е записот SSHFP DNS за валидација на клучеви на SSH врски. Тоа е опишано во , и . Вториот е записот OPENPGPKEY за размена на клучеви користејќи PGP (). Конечно, третиот е записот SMIMEA (стандардот не е формализиран во RFC, постои ) за размена на криптографски клучеви преку S/MIME.
Што е проблемот со ДАНЕ
Во средината на мај се одржа конференцијата DNS-OARC (ова е непрофитна организација која се занимава со безбедност, стабилност и развој на системот за имиња на домени). Експерти на еден од панелите дека технологијата DANE во прелистувачите не успеа (барем во нејзината моментална имплементација). Присутен на конференцијата Џеф Хјустон, водечки научник за истражување , еден од петте регионални интернет регистратори, за DANE како „мртва технологија“.
Популарните прелистувачи не поддржуваат автентикација на сертификати користејќи DANE. На пазарот , кои ја откриваат функционалноста на TLSA записите, но и нивната поддршка .
Проблемите со DANE дистрибуцијата во прелистувачите се поврзани со должината на процесот на валидација на DNSSEC. Системот е принуден да прави криптографски пресметки за да ја потврди автентичноста на SSL сертификатот и да помине низ целиот синџир на DNS сервери (од коренската зона до доменот на домаќинот) при првото поврзување со ресурс.
/Unsplash/
Mozilla се обиде да го отстрани овој недостаток користејќи го механизмот за TLS. Требаше да го намали бројот на записи на DNS што клиентот мораше да ги бара за време на автентикацијата. Меѓутоа, во групата за развој се појавија несогласувања кои не можеа да се решат. Како резултат на тоа, проектот беше напуштен, иако беше одобрен од IETF во март 2018 година.
Друга причина за малата популарност на DANE е ниската преваленца на DNSSEC во светот - . Експертите сметаа дека тоа не е доволно за активно промовирање на ДАНЕ.
Најверојатно, индустријата ќе се развива во друга насока. Наместо да користат DNS за да ги потврдат сертификатите SSL/TLS, играчите на пазарот наместо тоа ќе промовираат протоколи DNS-over-TLS (DoT) и DNS-over-HTTPS (DoH). Ова последново го спомнавме во една од нашите на Хабре. Тие ги шифрираат и потврдуваат барањата на корисниците до серверот DNS, спречувајќи ги напаѓачите да измамат податоци. На почетокот на годината, DoT веќе беше на Google за неговиот јавен DNS. Што се однесува до DANE, дали технологијата ќе може „да се врати во седлото“ и сепак да стане широко распространета, останува да се види во иднина.
Што друго имаме за понатамошно читање:
Извор: www.habr.com