Vorbim despre ce este tehnologia DANE pentru autentificarea numelor de domenii folosind DNS și de ce nu este utilizată pe scară largă în browsere.
/Unsplash/
Ce este DANE
Autoritățile de certificare (CA) sunt organizații care certificat criptografic . Și-au pus semnătura electronică pe ele, confirmându-le autenticitatea. Cu toate acestea, uneori apar situații când se eliberează certificate cu încălcări. De exemplu, anul trecut Google a inițiat o „procedură de renunțare la încredere” pentru certificatele Symantec din cauza compromisului lor (am acoperit această poveste în detaliu pe blogul nostru - и ).
Pentru a evita astfel de situații, acum câțiva ani IETF Tehnologia DANE (dar nu este utilizată pe scară largă în browsere - vom vorbi despre motivul pentru care s-a întâmplat acest lucru mai târziu).
DANE (DNS-based Authentication of Named Entities) este un set de specificații care vă permite să utilizați DNSSEC (Name System Security Extensions) pentru a controla valabilitatea certificatelor SSL. DNSSEC este o extensie a sistemului de nume de domeniu care minimizează atacurile de falsificare de adrese. Folosind aceste două tehnologii, un webmaster sau client poate contacta unul dintre operatorii zonei DNS și poate confirma valabilitatea certificatului utilizat.
În esență, DANE acționează ca un certificat autosemnat (garantul fiabilității sale este DNSSEC) și completează funcțiile unui CA.
Cum funcționează
Specificația DANE este descrisă în . Potrivit documentului, în a fost adăugat un nou tip - TLSA. Conține informații despre certificatul care se transferă, dimensiunea și tipul datelor transferate, precum și datele în sine. Webmasterul creează o amprentă digitală a certificatului, o semnează cu DNSSEC și o plasează în TLSA.
Clientul se conectează la un site de pe Internet și își compară certificatul cu „copia” primită de la operatorul DNS. Dacă se potrivesc, atunci resursa este considerată de încredere.
Pagina wiki DANE oferă următorul exemplu de solicitare DNS către example.org pe portul TCP 443:
IN TLSA _443._tcp.example.orgRăspunsul arată astfel:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE are mai multe extensii care funcționează cu înregistrări DNS, altele decât TLSA. Prima este înregistrarea DNS SSHFP pentru validarea cheilor pe conexiunile SSH. Este descris în , и . A doua este intrarea OPENPGPKEY pentru schimbul de chei folosind PGP (). În cele din urmă, a treia este înregistrarea SMIMEA (standardul nu este formalizat în RFC, există ) pentru schimbul de chei criptografice prin S/MIME.
Care este problema cu DANE?
La mijlocul lunii mai a avut loc conferința DNS-OARC (aceasta este o organizație non-profit care se ocupă de securitatea, stabilitatea și dezvoltarea sistemului de nume de domenii). Experți pe unul dintre panouri că tehnologia DANE din browsere a eșuat (cel puțin în implementarea sa actuală). Prezent la conferință Geoff Huston, om de știință în cercetare , unul dintre cei cinci registratori regionali de internet, despre DANE ca „tehnologie moartă”.
Browserele populare nu acceptă autentificarea prin certificat folosind DANE. La magazin , care dezvăluie funcționalitatea înregistrărilor TLSA, dar și suportul acestora .
Problemele cu distribuția DANE în browsere sunt asociate cu durata procesului de validare DNSSEC. Sistemul este obligat să facă calcule criptografice pentru a confirma autenticitatea certificatului SSL și a parcurge întregul lanț de servere DNS (de la zona rădăcină până la domeniul gazdă) atunci când se conectează pentru prima dată la o resursă.
/Unsplash/
Mozilla a încercat să elimine acest dezavantaj folosind mecanismul pentru TLS. Trebuia să reducă numărul de înregistrări DNS pe care clientul trebuia să le caute în timpul autentificării. Cu toate acestea, în cadrul grupului de dezvoltare au apărut neînțelegeri care nu au putut fi rezolvate. Drept urmare, proiectul a fost abandonat, deși a fost aprobat de IETF în martie 2018.
Un alt motiv pentru popularitatea scăzută a DANE este prevalența scăzută a DNSSEC în lume - . Experții au considerat că acest lucru nu este suficient pentru a promova activ DANE.
Cel mai probabil, industria se va dezvolta într-o direcție diferită. În loc să folosească DNS pentru a verifica certificatele SSL/TLS, jucătorii de pe piață vor promova protocoalele DNS-over-TLS (DoT) și DNS-over-HTTPS (DoH). Pe acesta din urmă l-am menționat într-unul dintre pe Habré. Ele criptează și verifică cererile utilizatorilor către serverul DNS, împiedicând atacatorii să falsifice datele. La începutul anului, DoT era deja către Google pentru DNS-ul său public. În ceea ce privește DANE, rămâne de văzut în viitor dacă tehnologia va fi capabilă să „reintră în șa” și să se răspândească în continuare.
Ce mai avem de citit în continuare:
Sursa: www.habr.com