Govorimo o tem, kaj je tehnologija DANE za avtentikacijo domenskih imen z uporabo DNS in zakaj se v brskalnikih ne uporablja široko.
/Unsplash/
Kaj je DANE
Certifikacijski organi (CA) so organizacije, ki kriptografsko potrdilo . Nanje oddajo svoj elektronski podpis in tako potrdijo njihovo pristnost. Vendar pa včasih pride do situacij, ko so potrdila izdana s kršitvami. Na primer, lani je Google sprožil "postopek razveljavitve zaupanja" za potrdila Symantec zaradi njihove ogroženosti (to zgodbo smo podrobno opisali v našem blogu - и ).
Da bi se izognili takim situacijam, je pred nekaj leti IETF Tehnologija DANE (vendar se v brskalnikih ne uporablja pogosto - o tem, zakaj se je to zgodilo, bomo govorili kasneje).
DANE (DNS-based Authentication of Named Entities) je nabor specifikacij, ki vam omogoča uporabo DNSSEC (Name System Security Extensions) za nadzor veljavnosti potrdil SSL. DNSSEC je razširitev sistema domenskih imen, ki minimizira napade lažnega naslova. Z uporabo teh dveh tehnologij lahko spletni skrbnik ali odjemalec stopi v stik z enim od operaterjev območja DNS in potrdi veljavnost uporabljenega certifikata.
DANE v bistvu deluje kot samopodpisano potrdilo (garant za njegovo zanesljivost je DNSSEC) in dopolnjuje funkcije CA.
Kako to deluje
Specifikacija DANE je opisana v . Glede na dokument, v dodan je bil nov tip - TLSA. Vsebuje informacije o certifikatu, ki se prenaša, velikosti in vrsti podatkov, ki se prenašajo, ter o samih podatkih. Spletni skrbnik ustvari digitalni odtis potrdila, ga podpiše z DNSSEC in postavi v TLSA.
Odjemalec se poveže s spletno stranjo na internetu in primerja svoje potrdilo s »kopijo«, ki jo prejme od operaterja DNS. Če se ujemajo, se vir šteje za zaupanja vrednega.
Wiki stran DANE ponuja naslednji primer zahteve DNS za example.org na vratih TCP 443:
IN TLSA _443._tcp.example.orgOdgovor izgleda takole:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE ima več razširitev, ki delujejo z zapisi DNS, ki niso TLSA. Prvi je zapis SSHFP DNS za preverjanje ključev na povezavah SSH. Opisano je v , и . Drugi je vnos OPENPGPKEY za izmenjavo ključev s PGP (). Končno, tretji je zapis SMIMEA (standard ni formaliziran v RFC, obstaja ) za izmenjavo kriptografskih ključev prek S/MIME.
Kaj je problem z DANE?
Sredi maja je potekala konferenca DNS-OARC (gre za neprofitno organizacijo, ki se ukvarja z varnostjo, stabilnostjo in razvojem domenskega sistema). Strokovnjaki na eni od plošč da je tehnologija DANE v brskalnikih odpovedala (vsaj v trenutni izvedbi). Prisoten na konferenci Geoff Huston, vodilni raziskovalec , eden od petih regionalnih internetnih registrarjev, o DANE kot “mrtvi tehnologiji”.
Priljubljeni brskalniki ne podpirajo preverjanja pristnosti potrdil z uporabo DANE. Na trgu , ki razkrivajo funkcionalnost zapisov TLSA, a tudi njihovo podporo .
Težave z distribucijo DANE v brskalnikih so povezane z dolžino postopka preverjanja DNSSEC. Sistem je prisiljen izvesti kriptografske izračune, da potrdi pristnost certifikata SSL in gre skozi celotno verigo strežnikov DNS (od korenske cone do gostiteljske domene), ko se prvič poveže z virom.
/Unsplash/
Mozilla je poskušala odpraviti to pomanjkljivost z uporabo mehanizma za TLS. Zmanjšal naj bi število zapisov DNS, ki jih mora odjemalec poiskati med preverjanjem pristnosti. Vendar so se znotraj razvojne skupine pojavila nesoglasja, ki jih ni bilo mogoče rešiti. Posledično je bil projekt opuščen, čeprav ga je marca 2018 odobril IETF.
Drugi razlog za nizko priljubljenost DANE je nizka razširjenost DNSSEC v svetu - . Strokovnjaki menijo, da to ni dovolj za aktivno promocijo DANE.
Najverjetneje se bo industrija razvijala v drugo smer. Namesto da bi uporabljali DNS za preverjanje potrdil SSL/TLS, bodo akterji na trgu spodbujali protokole DNS-over-TLS (DoT) in DNS-over-HTTPS (DoH). Slednje smo omenili v enem od naših na Habréju. Šifrirajo in preverjajo zahteve uporabnikov do strežnika DNS ter napadalcem preprečujejo, da bi ponaredili podatke. V začetku leta je bil DoT že Googlu za njegov javni DNS. Kar zadeva DANE, bomo v prihodnosti videli, ali se bo tehnologija lahko "vrnila v sedlo" in še vedno postala razširjena.
Kaj še imamo za nadaljnje branje:
Vir: www.habr.com