Hovoríme o tom, čo je technológia DANE na autentifikáciu doménových mien pomocou DNS a prečo nie je široko používaná v prehliadačoch.
/Unsplash/
Čo je DANE
Certifikačné autority (CA) sú organizácie, ktoré kryptografický certifikát . Umiestnili na ne svoj elektronický podpis, čím potvrdili ich pravosť. Niekedy však nastanú situácie, keď sa certifikáty vydajú s porušením. Napríklad minulý rok Google inicioval „postup zrušenie dôvery“ certifikátom Symantec z dôvodu ich kompromitácie (podrobne sme sa tomuto príbehu venovali v našom blogu – и ).
Aby sa predišlo takýmto situáciám, pred niekoľkými rokmi IETF Technológia DANE (nie je však široko používaná v prehliadačoch - o tom, prečo sa to stalo, si povieme neskôr).
DANE (DNS-based Authentication of Named Entities) je súbor špecifikácií, ktorý vám umožňuje používať DNSSEC (Name System Security Extensions) na kontrolu platnosti SSL certifikátov. DNSSEC je rozšírenie systému doménových mien, ktoré minimalizuje útoky spoofingu adries. Pomocou týchto dvoch technológií môže webmaster alebo klient kontaktovať jedného z operátorov DNS zóny a potvrdiť platnosť používaného certifikátu.
DANE v podstate funguje ako certifikát s vlastným podpisom (garantom jeho spoľahlivosti je DNSSEC) a dopĺňa funkcie CA.
Ako to funguje
Špecifikácia DANE je opísaná v . Podľa dokumentu v bol pridaný nový typ - TLSA. Obsahuje informácie o prenášanom certifikáte, veľkosti a type prenášaných dát, ako aj samotných dátach. Správca webu vytvorí digitálny odtlačok certifikátu, podpíše ho pomocou DNSSEC a umiestni ho do TLSA.
Klient sa pripojí na internetovú stránku a porovná svoj certifikát s „kópiou“ prijatou od operátora DNS. Ak sa zhodujú, zdroj sa považuje za dôveryhodný.
Wiki stránka DANE poskytuje nasledujúci príklad DNS požiadavky na example.org na TCP porte 443:
IN TLSA _443._tcp.example.orgOdpoveď vyzerá takto:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE má niekoľko rozšírení, ktoré pracujú so záznamami DNS inými ako TLSA. Prvým je záznam DNS SSHFP na overenie kľúčov pri pripojeniach SSH. Je to opísané v , и . Druhým je položka OPENPGPKEY pre výmenu kľúčov pomocou PGP (). Napokon, tretím je záznam SMIMEA (norma nie je formalizovaná v RFC, existuje ) na výmenu kryptografických kľúčov cez S/MIME.
Aký je problém s DANE
V polovici mája sa konala konferencia DNS-OARC (ide o neziskovú organizáciu, ktorá sa zaoberá bezpečnosťou, stabilitou a rozvojom systému doménových mien). Odborníci na jednom z panelov že technológia DANE v prehliadačoch zlyhala (aspoň v jej súčasnej implementácii). Prítomný na konferencii Geoff Huston, vedúci výskumný vedec , jeden z piatich regionálnych internetových registrátorov, o DANE ako o „mŕtvej technológii“.
Populárne prehliadače nepodporujú autentifikáciu certifikátom pomocou DANE. Na trhu , ktoré odhaľujú funkčnosť TLSA záznamov, ale aj ich podporu .
Problémy s distribúciou DANE v prehliadačoch sú spojené s dĺžkou procesu validácie DNSSEC. Systém je pri prvom pripojení k zdroju nútený vykonať kryptografické výpočty na potvrdenie pravosti certifikátu SSL a prejsť celým reťazcom serverov DNS (od koreňovej zóny po hostiteľskú doménu).
/Unsplash/
Mozilla sa snažila tento nedostatok odstrániť pomocou mechanizmu pre TLS. Ten mal znížiť počet DNS záznamov, ktoré si klient musel pri autentifikácii vyhľadať. V rámci vývojovej skupiny však vznikli nezhody, ktoré sa nepodarilo vyriešiť. V dôsledku toho bol projekt opustený, hoci bol schválený IETF v marci 2018.
Ďalším dôvodom nízkej popularity DANE je nízka prevalencia DNSSEC vo svete - . Odborníci sa domnievali, že to na aktívnu propagáciu DANE nestačí.
S najväčšou pravdepodobnosťou sa priemysel bude rozvíjať iným smerom. Namiesto používania DNS na overenie certifikátov SSL/TLS budú hráči na trhu namiesto toho propagovať protokoly DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH). To posledné sme spomenuli v jednom z našich na Habré. Šifrujú a overujú požiadavky používateľov na server DNS, čím bránia útočníkom falšovať údaje. Začiatkom roka už bol DoT spoločnosti Google pre jej verejné DNS. Čo sa týka DANE, to, či sa technológia dokáže „vrátiť do sedla“ a stále sa rozširovať, sa uvidí v budúcnosti.
Čo ešte máme na ďalšie čítanie:
Zdroj: hab.com