Ne flasim për atë që është teknologjia DANE për vërtetimin e emrave të domeneve duke përdorur DNS dhe pse ajo nuk përdoret gjerësisht në shfletues.
/Unsplash/
Çfarë është DANE
Autoritetet e Çertifikimit (CA) janë organizata që certifikatë kriptografike . Ata kanë vënë nënshkrimin e tyre elektronik, duke konfirmuar vërtetësinë e tyre. Megjithatë, ndonjëherë lindin situata kur certifikatat lëshohen me shkelje. Për shembull, vitin e kaluar Google filloi një "procedurë mosbesimi" për certifikatat e Symantec për shkak të kompromisit të tyre (ne e mbuluam këtë histori në detaje në blogun tonë - и ).
Për të shmangur situata të tilla, disa vite më parë IETF Teknologjia DANE (por nuk përdoret gjerësisht në shfletues - do të flasim përse ndodhi më vonë).
DANE (Authentication of Named Entities i bazuar në DNS) është një grup specifikimesh që ju lejon të përdorni DNSSEC (Name System Security Extensions) për të kontrolluar vlefshmërinë e certifikatave SSL. DNSSEC është një zgjerim i Sistemit të Emrave të Domainit që minimizon sulmet e mashtrimit të adresave. Duke përdorur këto dy teknologji, një webmaster ose klient mund të kontaktojë një nga operatorët e zonës DNS dhe të konfirmojë vlefshmërinë e certifikatës që përdoret.
Në thelb, DANE vepron si një certifikatë e vetë-nënshkruar (garantuesi i besueshmërisë së saj është DNSSEC) dhe plotëson funksionet e një CA.
Si punon kjo
Specifikimi DANE përshkruhet në . Sipas dokumentit, në u shtua një lloj i ri - TLSA. Ai përmban informacion në lidhje me certifikatën që po transferohet, madhësinë dhe llojin e të dhënave që transferohen, si dhe vetë të dhënat. Administratori i uebit krijon një gjurmë dixhitale të certifikatës, e nënshkruan atë me DNSSEC dhe e vendos në TLSA.
Klienti lidhet me një faqe në internet dhe e krahason certifikatën e tij me "kopjen" e marrë nga operatori DNS. Nëse ato përputhen, atëherë burimi konsiderohet i besuar.
Faqja wiki DANE ofron shembullin e mëposhtëm të një kërkese DNS për shembull.org në portin TCP 443:
IN TLSA _443._tcp.example.orgPërgjigja duket si kjo:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE ka disa shtesa që funksionojnë me regjistrime DNS përveç TLSA. E para është rekordi SSHFP DNS për vërtetimin e çelësave në lidhjet SSH. Është përshkruar në , и . E dyta është hyrja OPENPGPKEY për shkëmbimin e çelësave duke përdorur PGP (). Së fundi, i treti është rekordi SMIMEA (standardi nuk është i zyrtarizuar në RFC, ka ) për shkëmbimin e çelësave kriptografikë nëpërmjet S/MIME.
Cili eshte problemi me DANE
Në mes të majit u mbajt konferenca DNS-OARC (kjo është një organizatë jofitimprurëse që merret me sigurinë, stabilitetin dhe zhvillimin e sistemit të emrave të domenit). Ekspertët në një nga panelet se teknologjia DANE në shfletues ka dështuar (të paktën në zbatimin e saj aktual). I pranishëm në konferencë Geoff Huston, shkencëtar kryesor i kërkimit , një nga pesë regjistruesit rajonalë të internetit, për DANE si një "teknologji e vdekur".
Shfletuesit e njohur nuk mbështesin vërtetimin e certifikatës duke përdorur DANE. Në treg , të cilat zbulojnë funksionalitetin e të dhënave TLSA, por edhe mbështetjen e tyre .
Problemet me shpërndarjen DANE në shfletues shoqërohen me kohëzgjatjen e procesit të vërtetimit DNSSEC. Sistemi është i detyruar të bëjë llogaritjet kriptografike për të konfirmuar vërtetësinë e certifikatës SSL dhe për të kaluar nëpër të gjithë zinxhirin e serverëve DNS (nga zona rrënjë në domenin pritës) kur lidhet për herë të parë me një burim.
/Unsplash/
Mozilla u përpoq ta eliminonte këtë pengesë duke përdorur mekanizmin për TLS. Është dashur të zvogëlojë numrin e regjistrimeve DNS që klienti duhej të kërkonte gjatë vërtetimit. Megjithatë, lindën mosmarrëveshje brenda grupit të zhvillimit që nuk mund të zgjidheshin. Si rezultat, projekti u braktis, megjithëse u miratua nga IETF në mars 2018.
Një arsye tjetër për popullaritetin e ulët të DANE është prevalenca e ulët e DNSSEC në botë - . Ekspertët mendonin se kjo nuk ishte e mjaftueshme për të promovuar në mënyrë aktive DANE.
Me shumë mundësi, industria do të zhvillohet në një drejtim tjetër. Në vend që të përdorin DNS për të verifikuar certifikatat SSL/TLS, lojtarët e tregut do të promovojnë protokollet DNS-mbi-TLS (DoT) dhe DNS-mbi-HTTPS (DoH). Këtë të fundit e kemi përmendur në njërën tonë në Habré. Ata enkriptojnë dhe verifikojnë kërkesat e përdoruesve në serverin DNS, duke parandaluar sulmuesit nga mashtrimi i të dhënave. Në fillim të vitit, DoT ishte tashmë në Google për DNS-në e tij publike. Sa i përket DANE, nëse teknologjia do të jetë në gjendje të "rikthehet në shalë" dhe të bëhet ende e përhapur, mbetet për t'u parë në të ardhmen.
Çfarë tjetër kemi për lexim të mëtejshëm:
Burimi: www.habr.com