Nitkellmu dwar x'inhi t-teknoloġija DANE għall-awtentikazzjoni tal-ismijiet tad-dominju bl-użu tad-DNS u għaliex ma tintużax ħafna fil-browsers.
/Unsplash/
X'inhu DANE
L-Awtoritajiet taċ-Ċertifikazzjoni (CAs) huma organizzazzjonijiet li ċertifikat kriptografiku . Huma poġġew il-firma elettronika tagħhom fuqhom, u jikkonfermaw l-awtentiċità tagħhom. Madankollu, xi drabi jinqalgħu sitwazzjonijiet meta jinħarġu ċertifikati bi vjolazzjonijiet. Pereżempju, is-sena l-oħra Google bdiet "proċedura ta' detrust" għaċ-ċertifikati Symantec minħabba l-kompromess tagħhom (korejna din l-istorja fid-dettall fil-blog tagħna - и ).
Biex jiġu evitati sitwazzjonijiet bħal dawn, bosta snin ilu l-IETF Teknoloġija DANE (iżda mhix użata ħafna fil-browsers - nitkellmu dwar għaliex dan ġara aktar tard).
DANE (Awtentikazzjoni ta' Entitajiet Ismijiet ibbażata fuq DNS) huwa sett ta' speċifikazzjonijiet li jippermettilek tuża DNSSEC (Estensjonijiet tas-Sigurtà tas-Sistema tal-Ismijiet) biex tikkontrolla l-validità taċ-ċertifikati SSL. DNSSEC hija estensjoni għas-Sistema tal-Ismijiet tad-Dominju li timminimizza l-attakki ta’ spoofing tal-indirizzi. Bl-użu ta’ dawn iż-żewġ teknoloġiji, webmaster jew klijent jista’ jikkuntattja lil wieħed mill-operaturi taż-żona DNS u jikkonferma l-validità taċ-ċertifikat li qed jintuża.
Essenzjalment, DANE jaġixxi bħala ċertifikat iffirmat minnu nnifsu (il-garanti tal-affidabbiltà tiegħu huwa DNSSEC) u jikkumplimenta l-funzjonijiet ta 'CA.
Kif taħdem din
L-ispeċifikazzjoni DANE hija deskritta fi . Skont id-dokument, fi ġie miżjud tip ġdid - TLSA. Fiha informazzjoni dwar iċ-ċertifikat li qed jiġi ttrasferit, id-daqs u t-tip ta’ data li qed tiġi trasferita, kif ukoll id-data nnifisha. Il-webmaster joħloq thumbprint diġitali taċ-ċertifikat, jiffirmaha bid-DNSSEC, u jpoġġiha fit-TLSA.
Il-klijent jikkonnettja ma 'sit fuq l-Internet u jqabbel iċ-ċertifikat tiegħu mal-"kopja" riċevut mill-operatur DNS. Jekk jaqblu, allura r-riżorsa titqies bħala affidabbli.
Il-paġna wiki DANE tipprovdi l-eżempju li ġej ta’ talba DNS lil example.org fuq il-port TCP 443:
IN TLSA _443._tcp.example.orgIt-tweġiba tidher bħal din:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE għandu diversi estensjonijiet li jaħdmu ma 'rekords DNS minbarra TLSA. L-ewwel huwa r-rekord SSHFP DNS għall-validazzjoni taċ-ċwievet fuq konnessjonijiet SSH. Huwa deskritt fi , и . It-tieni hija l-entrata OPENPGPKEY għall-iskambju taċ-ċavetta bl-użu ta' PGP (). Fl-aħħarnett, it-tielet huwa r-rekord SMIMEA (l-istandard mhuwiex formalizzat fl-RFC, hemm ) għall-iskambju taċ-ċavetta kriptografika permezz ta' S/MIME.
X'inhi l-problema ma' DANE
F'nofs Mejju, saret il-konferenza DNS-OARC (din hija organizzazzjoni mingħajr skop ta' qligħ li tittratta s-sigurtà, l-istabbiltà u l-iżvilupp tas-sistema tal-ismijiet tad-dominju). Esperti fuq wieħed mill-pannelli li t-teknoloġija DANE fil-browsers falliet (għall-inqas fl-implimentazzjoni attwali tagħha). Preżenti fil-konferenza Geoff Huston, Xjentist Ewlieni tar-Riċerka , wieħed minn ħames reġistraturi reġjonali tal-Internet, dwar DANE bħala "teknoloġija mejta".
Brawżers popolari ma jappoġġjawx l-awtentikazzjoni taċ-ċertifikat bl-użu ta’ DANE. Fis-suq , li jiżvelaw il-funzjonalità tar-rekords TLSA, iżda wkoll l-appoġġ tagħhom .
Problemi bid-distribuzzjoni DANE fil-browsers huma assoċjati mat-tul tal-proċess ta 'validazzjoni DNSSEC. Is-sistema hija mġiegħla tagħmel kalkoli kriptografiċi biex tikkonferma l-awtentiċità taċ-ċertifikat SSL u tgħaddi mill-katina kollha tas-servers DNS (miz-żona ta 'l-għeruq sad-dominju ospitanti) meta tikkonnettja l-ewwel ma' riżors.
/Unsplash/
Mozilla ppruvaw jeliminaw dan l-iżvantaġġ bl-użu tal-mekkaniżmu għal TLS. Kien suppost inaqqas in-numru ta 'rekords DNS li l-klijent kellu jfittex waqt l-awtentikazzjoni. Madankollu, inqalgħu nuqqas ta' qbil fi ħdan il-grupp ta' żvilupp li ma setgħux jiġu solvuti. Bħala riżultat, il-proġett ġie abbandunat, għalkemm ġie approvat mill-IETF f'Marzu 2018.
Raġuni oħra għall-popolarità baxxa ta 'DANE hija l-prevalenza baxxa ta' DNSSEC fid-dinja - . L-esperti ħassew li dan ma kienx biżżejjed biex jippromwovi b'mod attiv DANE.
Ħafna probabbli, l-industrija se tiżviluppa f'direzzjoni differenti. Minflok ma jużaw id-DNS biex jivverifikaw iċ-ċertifikati SSL/TLS, l-atturi tas-suq minflok se jippromwovu protokolli DNS-over-TLS (DoT) u DNS-over-HTTPS (DoH). Semmejna l-aħħar f’wieħed minn tagħna fuq Habré. Jikkriptaw u jivverifikaw it-talbiet tal-utent lis-server tad-DNS, u jipprevjenu lill-attakkanti milli jagħmlu spoofing tad-dejta. Fil-bidu tas-sena, id-DoT kien diġà lil Google għad-DNS Pubbliku tagħha. Fir-rigward ta 'DANE, jekk it-teknoloġija tkunx kapaċi "terġa' tidħol fis-sarġ" u xorta waħda tinfirex għad irid jara fil-futur.
X'għandna aktar għal aktar qari:
Sors: www.habr.com