เราพูดถึงว่าเทคโนโลยี DANE คืออะไรในการตรวจสอบความถูกต้องของชื่อโดเมนโดยใช้ DNS และเหตุใดจึงไม่มีการใช้กันอย่างแพร่หลายในเบราว์เซอร์
/Unsplash/
เดนคืออะไร
ผู้ออกใบรับรอง (CAs) คือองค์กรที่ ใบรับรองการเข้ารหัส . พวกเขาใส่ลายเซ็นอิเล็กทรอนิกส์เพื่อยืนยันความถูกต้อง อย่างไรก็ตาม บางครั้งสถานการณ์เกิดขึ้นเมื่อออกใบรับรองโดยมีการละเมิด ตัวอย่างเช่น ปีที่แล้ว Google ได้ริเริ่ม "ขั้นตอน detrust" สำหรับใบรับรอง Symantec เนื่องจากการประนีประนอม (เราได้กล่าวถึงเรื่องราวนี้โดยละเอียดในบล็อกของเรา - и ).
เพื่อหลีกเลี่ยงสถานการณ์ดังกล่าว IETF เมื่อหลายปีก่อน เทคโนโลยี DANE (แต่ไม่ได้ใช้กันอย่างแพร่หลายในเบราว์เซอร์ - เราจะพูดถึงสาเหตุที่เกิดขึ้นในภายหลัง)
DANE (การตรวจสอบความถูกต้องตาม DNS ของเอนทิตีที่มีชื่อ) คือชุดข้อกำหนดที่อนุญาตให้คุณใช้ DNSSEC (Name System Security Extensions) เพื่อควบคุมความถูกต้องของใบรับรอง SSL DNSSEC เป็นส่วนขยายของระบบชื่อโดเมนที่ช่วยลดการโจมตีด้วยการปลอมแปลงที่อยู่ ด้วยการใช้เทคโนโลยีทั้งสองนี้ เว็บมาสเตอร์หรือไคลเอนต์สามารถติดต่อหนึ่งในผู้ให้บริการโซน DNS และยืนยันความถูกต้องของใบรับรองที่ใช้อยู่
โดยพื้นฐานแล้ว DANE ทำหน้าที่เป็นใบรับรองที่ลงนามด้วยตนเอง (ผู้รับประกันความน่าเชื่อถือคือ DNSSEC) และเติมเต็มฟังก์ชันของ CA
Какэтоработает
ข้อกำหนด DANE มีอธิบายไว้ใน . ตามเอกสารใน มีการเพิ่มประเภทใหม่ - TLSA ประกอบด้วยข้อมูลเกี่ยวกับใบรับรองที่กำลังถ่ายโอน ขนาดและประเภทของข้อมูลที่กำลังถ่ายโอน รวมถึงตัวข้อมูลเอง ผู้ดูแลเว็บจะสร้างรหัสประจำตัวดิจิทัลของใบรับรอง ลงนามด้วย DNSSEC และวางไว้ใน TLSA
ไคลเอนต์เชื่อมต่อกับไซต์บนอินเทอร์เน็ตและเปรียบเทียบใบรับรองกับ “สำเนา” ที่ได้รับจากผู้ให้บริการ DNS หากตรงกัน ทรัพยากรจะถือว่าเชื่อถือได้
หน้าวิกิของ DANE ให้ตัวอย่างต่อไปนี้ของคำขอ DNS ไปยัง example.org บนพอร์ต TCP 443:
IN TLSA _443._tcp.example.orgคำตอบมีลักษณะดังนี้:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE มีส่วนขยายหลายรายการที่ใช้งานได้กับบันทึก DNS นอกเหนือจาก TLSA อย่างแรกคือบันทึก SSHFP DNS สำหรับตรวจสอบความถูกต้องของคีย์ในการเชื่อมต่อ SSH มีอธิบายไว้ใน , и . รายการที่สองคือรายการ OPENPGPKEY สำหรับการแลกเปลี่ยนคีย์โดยใช้ PGP (). สุดท้าย ที่สามคือบันทึก SMIMEA (มาตรฐานไม่ได้เป็นทางการใน RFC นั่นแหละ) ) สำหรับการแลกเปลี่ยนคีย์การเข้ารหัสผ่าน S/MIME
DANE มีปัญหาอะไร
ในช่วงกลางเดือนพฤษภาคม การประชุม DNS-OARC จัดขึ้น (เป็นองค์กรไม่แสวงผลกำไรที่เกี่ยวข้องกับความปลอดภัย เสถียรภาพ และการพัฒนาระบบชื่อโดเมน) ผู้เชี่ยวชาญในแผงหนึ่ง ว่าเทคโนโลยี DANE ในเบราว์เซอร์ล้มเหลว (อย่างน้อยก็ในการใช้งานปัจจุบัน) นำเสนอในการประชุม Geoff Huston นักวิทยาศาสตร์การวิจัยชั้นนำ หนึ่งในห้าผู้รับจดทะเบียนอินเทอร์เน็ตระดับภูมิภาค เกี่ยวกับ DANE ว่าเป็น "เทคโนโลยีที่ตายแล้ว"
เบราว์เซอร์ยอดนิยมไม่รองรับการรับรองความถูกต้องของใบรับรองโดยใช้ DANE ที่ตลาด ซึ่งเปิดเผยฟังก์ชันการทำงานของบันทึก TLSA แต่ยังรวมถึงการสนับสนุนด้วย .
ปัญหาเกี่ยวกับการเผยแพร่ DANE ในเบราว์เซอร์เกี่ยวข้องกับความยาวของกระบวนการตรวจสอบ DNSSEC ระบบถูกบังคับให้ทำการคำนวณการเข้ารหัสเพื่อยืนยันความถูกต้องของใบรับรอง SSL และผ่านเครือข่ายเซิร์ฟเวอร์ DNS ทั้งหมด (จากโซนรูทไปยังโดเมนโฮสต์) เมื่อเชื่อมต่อกับทรัพยากรครั้งแรก
/Unsplash/
Mozilla พยายามกำจัดข้อเสียเปรียบนี้โดยใช้กลไกนี้ สำหรับ TLS ควรลดจำนวนบันทึก DNS ที่ไคลเอนต์ต้องค้นหาระหว่างการตรวจสอบสิทธิ์ อย่างไรก็ตามความขัดแย้งเกิดขึ้นภายในกลุ่มพัฒนาที่ไม่สามารถแก้ไขได้ ส่งผลให้โครงการนี้ถูกยกเลิกแม้ว่าจะได้รับการอนุมัติจาก IETF ในเดือนมีนาคม 2018 ก็ตาม
อีกเหตุผลหนึ่งที่ทำให้ DANE ได้รับความนิยมต่ำก็คือความชุกของ DNSSEC ในโลกที่ต่ำ - . ผู้เชี่ยวชาญรู้สึกว่านี่ไม่เพียงพอที่จะส่งเสริม DANE อย่างแข็งขัน
เป็นไปได้มากว่าอุตสาหกรรมจะพัฒนาไปในทิศทางที่แตกต่างออกไป แทนที่จะใช้ DNS เพื่อตรวจสอบใบรับรอง SSL/TLS ผู้เล่นในตลาดจะส่งเสริมโปรโตคอล DNS-over-TLS (DoT) และ DNS-over-HTTPS (DoH) แทน เรากล่าวถึงสิ่งหลังในหนึ่งในของเรา ทางด้านฮาเบร พวกเขาเข้ารหัสและตรวจสอบคำขอของผู้ใช้ไปยังเซิร์ฟเวอร์ DNS ป้องกันผู้โจมตีจากการปลอมแปลงข้อมูล เมื่อต้นปี DoT ก็เรียบร้อยแล้ว ไปยัง Google สำหรับ DNS สาธารณะ สำหรับ DANE ไม่ว่าเทคโนโลยีจะสามารถ "กลับไปสู่อานม้า" และยังคงแพร่หลายหรือไม่นั้นยังคงต้องรอดูกันต่อไปในอนาคต
เรามีอะไรให้อ่านเพิ่มเติม:
ที่มา: will.com