Kami bercakap tentang teknologi DANE untuk mengesahkan nama domain menggunakan DNS dan mengapa ia tidak digunakan secara meluas dalam penyemak imbas.
/nyah percikan/
Apa itu DANE
Pihak Berkuasa Pensijilan (CA) ialah organisasi yang sijil kriptografi . Mereka meletakkan tandatangan elektronik mereka pada mereka, mengesahkan kesahihan mereka. Walau bagaimanapun, kadangkala situasi timbul apabila sijil dikeluarkan dengan pelanggaran. Sebagai contoh, tahun lepas Google telah memulakan "prosedur detrust" untuk sijil Symantec kerana kompromi mereka (kami membincangkan cerita ini secara terperinci dalam blog kami - ΠΈ ).
Untuk mengelakkan situasi sedemikian, beberapa tahun lalu IETF Teknologi DANE (tetapi ia tidak digunakan secara meluas dalam penyemak imbas - kita akan bercakap tentang sebab ini berlaku kemudian).
DANE (Pengesahan Entiti Dinamakan berasaskan DNS) ialah satu set spesifikasi yang membolehkan anda menggunakan DNSSEC (Sambungan Keselamatan Sistem Nama) untuk mengawal kesahihan sijil SSL. DNSSEC ialah lanjutan kepada Sistem Nama Domain yang meminimumkan serangan pemalsuan alamat. Menggunakan kedua-dua teknologi ini, juruweb atau pelanggan boleh menghubungi salah satu pengendali zon DNS dan mengesahkan kesahihan sijil yang digunakan.
Pada asasnya, DANE bertindak sebagai sijil yang ditandatangani sendiri (penjamin kebolehpercayaannya ialah DNSSEC) dan melengkapkan fungsi CA.
ΠΠ°ΠΊ ΡΡΠΎ ΡΠ°Π±ΠΎΡΠ°Π΅Ρ
Spesifikasi DANE diterangkan dalam . Menurut dokumen itu, dalam jenis baharu telah ditambah - TLSA. Ia mengandungi maklumat tentang sijil yang dipindahkan, saiz dan jenis data yang dipindahkan, serta data itu sendiri. Juruweb mencipta cap ibu jari digital sijil, menandatanganinya dengan DNSSEC dan meletakkannya dalam TLSA.
Pelanggan menyambung ke tapak di Internet dan membandingkan sijilnya dengan "salinan" yang diterima daripada pengendali DNS. Jika ia sepadan, maka sumber itu dianggap dipercayai.
Halaman wiki DANE menyediakan contoh berikut permintaan DNS kepada example.org pada port TCP 443:
IN TLSA _443._tcp.example.orgJawapannya kelihatan seperti ini:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE mempunyai beberapa sambungan yang berfungsi dengan rekod DNS selain TLSA. Yang pertama ialah rekod DNS SSHFP untuk mengesahkan kunci pada sambungan SSH. Ia diterangkan dalam , ΠΈ . Yang kedua ialah entri OPENPGPKEY untuk pertukaran kunci menggunakan PGP (). Akhir sekali, yang ketiga ialah rekod SMIMEA (standard tidak diformalkan dalam RFC, ada ) untuk pertukaran kunci kriptografi melalui S/MIME.
Apa masalah dengan DANE
Pada pertengahan Mei, persidangan DNS-OARC telah diadakan (ini adalah organisasi bukan untung yang berurusan dengan keselamatan, kestabilan dan pembangunan sistem nama domain). Pakar pada salah satu panel bahawa teknologi DANE dalam pelayar telah gagal (sekurang-kurangnya dalam pelaksanaan semasa). Hadir di persidangan Geoff Huston, Saintis Penyelidikan Terkemuka , salah satu daripada lima pendaftar Internet serantau, tentang DANE sebagai "teknologi mati".
Pelayar popular tidak menyokong pengesahan sijil menggunakan DANE. Di pasaran , yang mendedahkan kefungsian rekod TLSA, tetapi juga sokongannya .
Masalah dengan pengedaran DANE dalam penyemak imbas dikaitkan dengan tempoh proses pengesahan DNSSEC. Sistem ini terpaksa membuat pengiraan kriptografi untuk mengesahkan ketulenan sijil SSL dan melalui keseluruhan rangkaian pelayan DNS (dari zon akar ke domain hos) apabila mula-mula menyambung ke sumber.
/nyah percikan/
Mozilla cuba menghapuskan kelemahan ini menggunakan mekanisme tersebut untuk TLS. Ia sepatutnya mengurangkan bilangan rekod DNS yang pelanggan perlu cari semasa pengesahan. Bagaimanapun, perselisihan faham timbul dalam kumpulan pembangunan yang tidak dapat diselesaikan. Akibatnya, projek itu terbengkalai, walaupun telah diluluskan oleh IETF pada Mac 2018.
Satu lagi sebab populariti rendah DANE ialah kelaziman DNSSEC yang rendah di dunia - . Pakar merasakan bahawa ini tidak mencukupi untuk mempromosikan DANE secara aktif.
Kemungkinan besar, industri akan berkembang ke arah yang berbeza. Daripada menggunakan DNS untuk mengesahkan sijil SSL/TLS, pemain pasaran sebaliknya akan mempromosikan protokol DNS-over-TLS (DoT) dan DNS-over-HTTPS (DoH). Kami menyebut yang terakhir dalam salah satu daripada kami pada HabrΓ©. Mereka menyulitkan dan mengesahkan permintaan pengguna kepada pelayan DNS, menghalang penyerang daripada menipu data. Pada awal tahun, DoT sudah ada kepada Google untuk DNS Awamnya. Bagi DANE, sama ada teknologi itu akan dapat "kembali ke pelana" dan masih meluas masih perlu dilihat pada masa hadapan.
Apa lagi yang kami ada untuk bacaan lanjut:
Sumber: www.habr.com