ProHoster > blogg > administration > Det finns en åsikt: DANE-teknik för webbläsare har misslyckats

Det finns en åsikt: DANE-teknik för webbläsare har misslyckats

Vi pratar om vad DANE-teknik är för autentisering av domännamn med hjälp av DNS och varför den inte används flitigt i webbläsare.

Det finns en åsikt: DANE-teknik för webbläsare har misslyckats
/Unsplash/ Paulius Dragunas

Vad är DANE

Certifieringsmyndigheter (CA) är organisationer som är förlovade kryptografiskt certifikat SSL-certifikat. De sätter sin elektroniska signatur på dem, vilket bekräftar deras äkthet. Men ibland uppstår situationer när certifikat utfärdas med överträdelser. Till exempel, förra året initierade Google ett "avtroendeförfarande" för Symantec-certifikat på grund av att de hade kompromissat (vi behandlade den här historien i detalj i vår blogg - tid и два).

För att undvika sådana situationer, flera år sedan IETF började utvecklas DANE-teknik (men den används inte flitigt i webbläsare - vi kommer att prata om varför detta hände senare).

DANE (DNS-baserad autentisering av namngivna enheter) är en uppsättning specifikationer som låter dig använda DNSSEC (Name System Security Extensions) för att kontrollera SSL-certifikatens giltighet. DNSSEC är ett tillägg till domännamnssystemet som minimerar adressförfalskningsattacker. Genom att använda dessa två tekniker kan en webbansvarig eller klient kontakta en av DNS-zonens operatörer och bekräfta giltigheten av certifikatet som används.

I huvudsak fungerar DANE som ett självsignerat certifikat (garanten för dess tillförlitlighet är DNSSEC) och kompletterar funktionerna hos en CA.

Hur fungerar den här

DANE-specifikationen beskrivs i RFC6698. Enligt dokumentet, i DNS-resursposter en ny typ lades till - TLSA. Den innehåller information om certifikatet som överförs, storleken och typen av data som överförs, samt själva data. Webbmastern skapar ett digitalt tumavtryck av certifikatet, signerar det med DNSSEC och placerar det i TLSA.

Klienten ansluter till en webbplats på Internet och jämför dess certifikat med "kopian" som tagits emot från DNS-operatören. Om de matchar anses resursen vara betrodd.

DANE-wikisidan ger följande exempel på en DNS-begäran till example.org på TCP-port 443:

IN TLSA _443._tcp.example.org

Svaret ser ut så här:

 _443._tcp.example.com. IN TLSA (
   3 0 0 30820307308201efa003020102020... )

DANE har flera tillägg som fungerar med andra DNS-poster än TLSA. Den första är SSHFP DNS-posten för validering av nycklar på SSH-anslutningar. Det beskrivs i RFC4255RFC6594 и RFC7479. Den andra är OPENPGPKEY-posten för nyckelutbyte med PGP (RFC7929). Slutligen, den tredje är SMIMEA-posten (standarden är inte formaliserad i RFC, det finns bara ett utkast till det) för utbyte av kryptografiskt nyckel via S/MIME.

Vad är problemet med DANE

I mitten av maj hölls DNS-OARC-konferensen (detta är en ideell organisation som sysslar med säkerhet, stabilitet och utveckling av domännamnssystemet). Experter på en av panelerna kom fram till slutsatsenatt DANE-tekniken i webbläsare har misslyckats (åtminstone i sin nuvarande implementering). Närvarande vid konferensen Geoff Huston, Leading Research Scientist APNIC, en av fem regionala internetregistratorer, svarade om DANE som en "död teknologi".

Populära webbläsare stöder inte certifikatautentisering med DANE. På marknaden det finns speciella plugins, som avslöjar funktionaliteten hos TLSA-poster, men också deras stöd gradvis sluta.

Problem med DANE-distribution i webbläsare är förknippade med längden på DNSSEC-valideringsprocessen. Systemet tvingas göra kryptografiska beräkningar för att bekräfta SSL-certifikatets äkthet och gå igenom hela kedjan av DNS-servrar (från rotzonen till värddomänen) när det först ansluts till en resurs.

Det finns en åsikt: DANE-teknik för webbläsare har misslyckats
/Unsplash/ Kaley Dykstra

Mozilla försökte eliminera denna nackdel med hjälp av mekanismen DNSSEC Kedjeförlängning för TLS. Det var tänkt att minska antalet DNS-poster som klienten var tvungen att slå upp under autentiseringen. Det uppstod dock meningsskiljaktigheter inom utvecklingsgruppen som inte gick att lösa. Som ett resultat övergavs projektet, även om det godkändes av IETF i mars 2018.

En annan anledning till DANEs låga popularitet är den låga prevalensen av DNSSEC i världen - endast 19 % av resurserna arbetar med det. Experter ansåg att detta inte var tillräckligt för att aktivt främja DANE.

Med största sannolikhet kommer branschen att utvecklas i en annan riktning. Istället för att använda DNS för att verifiera SSL/TLS-certifikat kommer marknadsaktörerna istället att främja DNS-over-TLS (DoT) och DNS-over-HTTPS (DoH) protokoll. Vi nämnde det senare i en av våra tidigare material på Habré. De krypterar och verifierar användarförfrågningar till DNS-servern, vilket förhindrar angripare från att förfalska data. I början av året var DoT redan genomförs till Google för dess offentliga DNS. När det gäller DANE, om tekniken kommer att kunna "sätta sig tillbaka i sadeln" och ändå bli utbredd återstår att se i framtiden.

Vad mer vi har att läsa vidare:

Det finns en åsikt: DANE-teknik för webbläsare har misslyckats Hur man automatiserar IT-infrastrukturhantering - diskutera tre trender
Det finns en åsikt: DANE-teknik för webbläsare har misslyckats JMAP - ett öppet protokoll som kommer att ersätta IMAP vid utbyte av e-post

Det finns en åsikt: DANE-teknik för webbläsare har misslyckats Hur man sparar med ett applikationsprogrammeringsgränssnitt
Det finns en åsikt: DANE-teknik för webbläsare har misslyckats DevOps i en molntjänst med exemplet 1cloud.ru
Det finns en åsikt: DANE-teknik för webbläsare har misslyckats Utvecklingen av molnarkitektur 1cloud

Det finns en åsikt: DANE-teknik för webbläsare har misslyckats Hur fungerar teknisk support för 1cloud?
Det finns en åsikt: DANE-teknik för webbläsare har misslyckats Myter om molnteknik

Källa: will.com

Lägg en kommentar