Говоримо о томе шта је ДАНЕ технологија за аутентификацију имена домена помоћу ДНС-а и зашто се не користи широко у претраживачима.
/Унспласһ/
Шта је ДАНЕ
Сертификациони ауторитети (ЦА) су организације које криптографски сертификат . На њих су ставили свој електронски потпис, потврђујући њихову аутентичност. Међутим, понекад се јављају ситуације када се сертификати издају са кршењима. На пример, Гоогле је прошле године покренуо „процедуру одузимања поверења“ за Симантец сертификате због њиховог компромитовања (детаљно смо покрили ову причу у нашем блогу - и ).
Да би се избегле такве ситуације, пре неколико година ИЕТФ ДАНЕ технологија (али се не користи широко у претраживачима - о томе зашто се то догодило ћемо касније).
ДАНЕ (ДНС-басед Аутхентицатион оф Намед Ентитиес) је скуп спецификација који вам омогућава да користите ДНССЕЦ (Наме Систем Сецурити Ектенсионс) за контролу ваљаности ССЛ сертификата. ДНССЕЦ је проширење система имена домена које минимизира нападе лажирања адреса. Користећи ове две технологије, вебмастер или клијент може контактирати једног од оператера ДНС зоне и потврдити валидност сертификата који се користи.
У суштини, ДАНЕ делује као самопотписани сертификат (гарант његове поузданости је ДНССЕЦ) и допуњује функције ЦА.
Како ово ради
ДАНЕ спецификација је описана у . Према документу, у додат је нови тип – ТЛСА. Садржи информације о сертификату који се преноси, величини и врсти података који се преносе, као и самим подацима. Вебмастер креира дигитални отисак сертификата, потписује га ДНССЕЦ-ом и ставља га у ТЛСА.
Клијент се повезује са сајтом на Интернету и упоређује свој сертификат са „копијом“ добијеном од ДНС оператера. Ако се поклапају, онда се ресурс сматра поузданим.
ДАНЕ вики страница пружа следећи пример ДНС захтева за екампле.орг на ТЦП порту 443:
IN TLSA _443._tcp.example.orgОдговор изгледа овако:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
ДАНЕ има неколико екстензија које раде са ДНС записима који нису ТЛСА. Први је ССХФП ДНС запис за валидацију кључева на ССХ конекцијама. Описано је у , и . Други је унос ОПЕНПГПКЕИ за размену кључева помоћу ПГП-а (). Коначно, трећи је СМИМЕА запис (стандард није формализован у РФЦ-у, постоји ) за размену криптографских кључева преко С/МИМЕ.
Шта је проблем са ДАНЕ-ом
Средином маја одржана је конференција ДНС-ОАРЦ (ово је непрофитна организација која се бави безбедношћу, стабилношћу и развојем система назива домена). Стручњаци на једном од панела да је ДАНЕ технологија у претраживачима заказала (барем у тренутној имплементацији). Присутан на конференцији Геофф Хустон, водећи научник истраживања , један од пет регионалних Интернет регистратора, о ДАНЕ-у као „мртвој технологији”.
Популарни претраживачи не подржавају потврду аутентичности сертификата користећи ДАНЕ. На пијаци , који откривају функционалност ТЛСА записа, али и њихову подршку .
Проблеми са ДАНЕ дистрибуцијом у претраживачима повезани су са дужином процеса валидације ДНССЕЦ-а. Систем је приморан да изврши криптографске прорачуне како би потврдио аутентичност ССЛ сертификата и прошао кроз цео ланац ДНС сервера (од коренске зоне до домена домаћина) када се први пут повезује на ресурс.
/Унспласһ/
Мозилла је покушала да отклони овај недостатак користећи механизам за ТЛС. Требало је да смањи број ДНС записа које је клијент морао да тражи током аутентификације. Међутим, унутар развојне групе дошло је до несугласица које се нису могле решити. Као резултат тога, пројекат је напуштен, иако га је ИЕТФ одобрио у марту 2018.
Други разлог за ниску популарност ДАНЕ-а је ниска распрострањеност ДНССЕЦ-а у свету - . Стручњаци сматрају да то није довољно за активну промоцију ДАНЕ-а.
Највероватније ће се индустрија развијати у другом правцу. Уместо да користе ДНС за верификацију ССЛ/ТЛС сертификата, учесници на тржишту ће уместо тога промовисати ДНС-овер-ТЛС (ДоТ) и ДНС-овер-ХТТПС (ДоХ) протоколе. Ово последње смо споменули у једном од наших на Хабреу. Они шифрују и верификују корисничке захтеве према ДНС серверу, спречавајући нападаче да лажирају податке. Почетком године ДоТ је већ био Гоогле-у за свој јавни ДНС. Што се тиче ДАНЕ-а, да ли ће технологија моћи да се „врати у седло“ и да и даље постане широко распрострањена остаје да се види у будућности.
Шта још имамо за даље читање:
Извор: ввв.хабр.цом