Falamos sobre o que é a tecnologia DANE para autenticar nomes de domínio usando DNS e por que ela não é amplamente utilizada em navegadores.
/Remover/
O que é DANE
Autoridades de Certificação (CAs) são organizações que certificado criptográfico . Eles colocam neles sua assinatura eletrônica, confirmando sua autenticidade. No entanto, às vezes surgem situações em que os certificados são emitidos com violações. Por exemplo, no ano passado, o Google iniciou um “procedimento de retirada de confiança” para certificados da Symantec devido ao seu comprometimento (cobrimos essa história em detalhes em nosso blog - и ).
Para evitar tais situações, há vários anos a IETF Tecnologia DANE (mas não é amplamente utilizada em navegadores - falaremos sobre por que isso aconteceu mais tarde).
DANE (Autenticação de entidades nomeadas baseada em DNS) é um conjunto de especificações que permite usar DNSSEC (Extensões de segurança do sistema de nomes) para controlar a validade de certificados SSL. DNSSEC é uma extensão do Sistema de Nomes de Domínio que minimiza ataques de falsificação de endereço. Usando essas duas tecnologias, um webmaster ou cliente pode entrar em contato com um dos operadores da zona DNS e confirmar a validade do certificado utilizado.
Essencialmente, o DANE atua como um certificado autoassinado (o garante da sua confiabilidade é o DNSSEC) e complementa as funções de uma CA.
Как это работает
A especificação DANE é descrita em . Segundo o documento, em um novo tipo foi adicionado - TLSA. Ele contém informações sobre o certificado que está sendo transferido, o tamanho e o tipo dos dados que estão sendo transferidos, bem como os próprios dados. O webmaster cria uma impressão digital do certificado, assina-o com DNSSEC e coloca-o no TLSA.
O cliente se conecta a um site na Internet e compara seu certificado com a “cópia” recebida da operadora DNS. Se corresponderem, o recurso será considerado confiável.
A página wiki DANE fornece o seguinte exemplo de solicitação DNS para example.org na porta TCP 443:
IN TLSA _443._tcp.example.orgA resposta é assim:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE possui diversas extensões que funcionam com registros DNS diferentes do TLSA. O primeiro é o registro DNS SSHFP para validação de chaves em conexões SSH. Está descrito em , и . A segunda é a entrada OPENPGPKEY para troca de chaves usando PGP (). Por fim, o terceiro é o registro SMIMEA (o padrão não está formalizado na RFC, existe ) para troca de chaves criptográficas via S/MIME.
Qual é o problema com DANE
Em meados de maio, foi realizada a conferência DNS-OARC (uma organização sem fins lucrativos que trata da segurança, estabilidade e desenvolvimento do sistema de nomes de domínio). Especialistas em um dos painéis que a tecnologia DANE em navegadores falhou (pelo menos na sua implementação atual). Presente na conferência Geoff Huston, principal cientista pesquisador , um dos cinco registradores regionais da Internet, sobre DANE como uma “tecnologia morta”.
Os navegadores populares não suportam autenticação de certificado usando DANE. No mercado , que revelam a funcionalidade dos registros TLSA, mas também seu suporte .
Os problemas com a distribuição do DANE nos navegadores estão associados à duração do processo de validação do DNSSEC. O sistema é forçado a fazer cálculos criptográficos para confirmar a autenticidade do certificado SSL e percorrer toda a cadeia de servidores DNS (da zona raiz ao domínio host) ao se conectar pela primeira vez a um recurso.
/Remover/
A Mozilla tentou eliminar esta desvantagem usando o mecanismo para TLS. O objetivo era reduzir o número de registros DNS que o cliente precisava consultar durante a autenticação. No entanto, surgiram divergências dentro do grupo de desenvolvimento que não puderam ser resolvidas. Com isso, o projeto foi abandonado, embora tenha sido aprovado pela IETF em março de 2018.
Outra razão para a baixa popularidade do DANE é a baixa prevalência de DNSSEC no mundo - . Os especialistas consideraram que isto não era suficiente para promover ativamente o DANE.
Muito provavelmente, a indústria se desenvolverá em uma direção diferente. Em vez de usar DNS para verificar certificados SSL/TLS, os participantes do mercado promoverão os protocolos DNS sobre TLS (DoT) e DNS sobre HTTPS (DoH). Mencionamos este último em um de nossos em Habré. Eles criptografam e verificam as solicitações do usuário ao servidor DNS, evitando que invasores falsifiquem dados. No início do ano, o DoT já estava ao Google por seu DNS público. Quanto a DANE, resta saber se a tecnologia será capaz de “voltar à sela” e ainda se difundir no futuro.
O que mais temos para leitura adicional:
Fonte: habr.com