Pihak Berkuasa Pensijilan (CA) ialah organisasi yang telah bertunang sijil kriptografi sijil SSL. Mereka meletakkan tandatangan elektronik mereka pada mereka, mengesahkan kesahihan mereka. Walau bagaimanapun, kadangkala situasi timbul apabila sijil dikeluarkan dengan pelanggaran. Sebagai contoh, tahun lepas Google telah memulakan "prosedur detrust" untuk sijil Symantec kerana kompromi mereka (kami membincangkan cerita ini secara terperinci dalam blog kami - masa ΠΈ Π΄Π²Π°).
Untuk mengelakkan situasi sedemikian, beberapa tahun lalu IETF mula berkembang Teknologi DANE (tetapi ia tidak digunakan secara meluas dalam penyemak imbas - kita akan bercakap tentang sebab ini berlaku kemudian).
DANE (Pengesahan Entiti Dinamakan berasaskan DNS) ialah satu set spesifikasi yang membolehkan anda menggunakan DNSSEC (Sambungan Keselamatan Sistem Nama) untuk mengawal kesahihan sijil SSL. DNSSEC ialah lanjutan kepada Sistem Nama Domain yang meminimumkan serangan pemalsuan alamat. Menggunakan kedua-dua teknologi ini, juruweb atau pelanggan boleh menghubungi salah satu pengendali zon DNS dan mengesahkan kesahihan sijil yang digunakan.
Pada asasnya, DANE bertindak sebagai sijil yang ditandatangani sendiri (penjamin kebolehpercayaannya ialah DNSSEC) dan melengkapkan fungsi CA.
ΠΠ°ΠΊ ΡΡΠΎ ΡΠ°Π±ΠΎΡΠ°Π΅Ρ
Spesifikasi DANE diterangkan dalam RFC6698. Menurut dokumen itu, dalam Rekod sumber DNS jenis baharu telah ditambah - TLSA. Ia mengandungi maklumat tentang sijil yang dipindahkan, saiz dan jenis data yang dipindahkan, serta data itu sendiri. Juruweb mencipta cap ibu jari digital sijil, menandatanganinya dengan DNSSEC dan meletakkannya dalam TLSA.
Pelanggan menyambung ke tapak di Internet dan membandingkan sijilnya dengan "salinan" yang diterima daripada pengendali DNS. Jika ia sepadan, maka sumber itu dianggap dipercayai.
Halaman wiki DANE menyediakan contoh berikut permintaan DNS kepada example.org pada port TCP 443:
IN TLSA _443._tcp.example.org
Jawapannya kelihatan seperti ini:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE mempunyai beberapa sambungan yang berfungsi dengan rekod DNS selain TLSA. Yang pertama ialah rekod DNS SSHFP untuk mengesahkan kunci pada sambungan SSH. Ia diterangkan dalam RFC4255, RFC6594 ΠΈ RFC7479. Yang kedua ialah entri OPENPGPKEY untuk pertukaran kunci menggunakan PGP (RFC7929). Akhir sekali, yang ketiga ialah rekod SMIMEA (standard tidak diformalkan dalam RFC, ada hanya draf sahaja) untuk pertukaran kunci kriptografi melalui S/MIME.
Apa masalah dengan DANE
Pada pertengahan Mei, persidangan DNS-OARC telah diadakan (ini adalah organisasi bukan untung yang berurusan dengan keselamatan, kestabilan dan pembangunan sistem nama domain). Pakar pada salah satu panel sampai pada kesimpulanbahawa teknologi DANE dalam pelayar telah gagal (sekurang-kurangnya dalam pelaksanaan semasa). Hadir di persidangan Geoff Huston, Saintis Penyelidikan Terkemuka APNIC, salah satu daripada lima pendaftar Internet serantau, menjawab tentang DANE sebagai "teknologi mati".
Pelayar popular tidak menyokong pengesahan sijil menggunakan DANE. Di pasaran terdapat pemalam khas, yang mendedahkan kefungsian rekod TLSA, tetapi juga sokongannya beransur-ansur berhenti.
Masalah dengan pengedaran DANE dalam penyemak imbas dikaitkan dengan tempoh proses pengesahan DNSSEC. Sistem ini terpaksa membuat pengiraan kriptografi untuk mengesahkan ketulenan sijil SSL dan melalui keseluruhan rangkaian pelayan DNS (dari zon akar ke domain hos) apabila mula-mula menyambung ke sumber.
Mozilla cuba menghapuskan kelemahan ini menggunakan mekanisme tersebut Sambungan Rantaian DNSSEC untuk TLS. Ia sepatutnya mengurangkan bilangan rekod DNS yang pelanggan perlu cari semasa pengesahan. Bagaimanapun, perselisihan faham timbul dalam kumpulan pembangunan yang tidak dapat diselesaikan. Akibatnya, projek itu terbengkalai, walaupun telah diluluskan oleh IETF pada Mac 2018.
Satu lagi sebab populariti rendah DANE ialah kelaziman DNSSEC yang rendah di dunia - hanya 19% daripada sumber berfungsi dengannya. Pakar merasakan bahawa ini tidak mencukupi untuk mempromosikan DANE secara aktif.