May opinyon: Nabigo ang teknolohiya ng DANE para sa mga browser
Pinag-uusapan natin kung ano ang teknolohiya ng DANE para sa pag-authenticate ng mga domain name gamit ang DNS at kung bakit hindi ito malawak na ginagamit sa mga browser.
Ang mga Certification Authority (CA) ay mga organisasyon na ay engaged sertipiko ng cryptographic Mga SSL certificate. Inilagay nila ang kanilang electronic signature sa kanila, na nagpapatunay sa kanilang pagiging tunay. Gayunpaman, kung minsan ang mga sitwasyon ay lumitaw kapag ang mga sertipiko ay inisyu na may mga paglabag. Halimbawa, noong nakaraang taon, sinimulan ng Google ang isang "pamamaraan sa pagwawasto" para sa mga sertipiko ng Symantec dahil sa kanilang kompromiso (tinalakay namin ang kuwentong ito nang detalyado sa aming blog - oras ΠΈ Π΄Π²Π°).
Upang maiwasan ang mga ganitong sitwasyon, ilang taon na ang nakalipas ang IETF nagsimulang umunlad Ang teknolohiya ng DANE (ngunit hindi ito malawak na ginagamit sa mga browser - pag-uusapan natin kung bakit nangyari ito sa ibang pagkakataon).
Ang DANE (DNS-based Authentication of Named Entities) ay isang hanay ng mga detalye na nagbibigay-daan sa iyong gamitin ang DNSSEC (Name System Security Extensions) upang kontrolin ang bisa ng mga SSL certificate. Ang DNSSEC ay isang extension sa Domain Name System na nagpapaliit sa mga pag-atake ng panggagaya sa address. Gamit ang dalawang teknolohiyang ito, maaaring makipag-ugnayan ang isang webmaster o kliyente sa isa sa mga operator ng DNS zone at kumpirmahin ang bisa ng certificate na ginagamit.
Sa esensya, kumikilos ang DANE bilang isang self-signed certificate (ang tagagarantiya ng pagiging maaasahan nito ay DNSSEC) at umaakma sa mga function ng isang CA.
ΠΠ°ΠΊ ΡΡΠΎ ΡΠ°Π±ΠΎΡΠ°Π΅Ρ
Ang detalye ng DANE ay inilarawan sa RFC6698. Ayon sa dokumento, sa Mga tala ng mapagkukunan ng DNS isang bagong uri ang idinagdag - TLSA. Naglalaman ito ng impormasyon tungkol sa inililipat na sertipiko, ang laki at uri ng data na inililipat, pati na rin ang data mismo. Gumagawa ang webmaster ng digital thumbprint ng certificate, nilagdaan ito gamit ang DNSSEC, at inilalagay ito sa TLSA.
Kumokonekta ang kliyente sa isang site sa Internet at inihambing ang sertipiko nito sa "kopya" na natanggap mula sa DNS operator. Kung magkatugma ang mga ito, maituturing na pinagkakatiwalaan ang mapagkukunan.
Ang pahina ng wiki ng DANE ay nagbibigay ng sumusunod na halimbawa ng isang kahilingan sa DNS sa example.org sa TCP port 443:
IN TLSA _443._tcp.example.org
Ang sagot ay ganito:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
Ang DANE ay may ilang extension na gumagana sa mga tala ng DNS maliban sa TLSA. Ang una ay ang SSHFP DNS record para sa pagpapatunay ng mga key sa mga koneksyon sa SSH. Ito ay inilarawan sa RFC4255, RFC6594 ΠΈ RFC7479. Ang pangalawa ay ang OPENPGPKEY entry para sa key exchange gamit ang PGP (RFC7929). Sa wakas, ang pangatlo ay ang rekord ng SMIMEA (ang pamantayan ay hindi pormal sa RFC, mayroon draft lang nito) para sa cryptographic key exchange sa pamamagitan ng S/MIME.
Ano bang problema ni DANE
Noong kalagitnaan ng Mayo, ginanap ang DNS-OARC conference (ito ay isang non-profit na organisasyon na tumatalakay sa seguridad, katatagan at pag-unlad ng domain name system). Mga eksperto sa isa sa mga panel dumating sa konklusyonna ang teknolohiya ng DANE sa mga browser ay nabigo (hindi bababa sa kasalukuyang pagpapatupad nito). Present sa conference Geoff Huston, Nangungunang Research Scientist APnic, isa sa limang regional Internet registrar, tumugon tungkol sa DANE bilang isang "patay na teknolohiya".
Hindi sinusuportahan ng mga sikat na browser ang pagpapatunay ng certificate gamit ang DANE. Sa palengke may mga espesyal na plugin, na nagpapakita ng paggana ng mga tala ng TLSA, ngunit pati na rin ang kanilang suporta unti-unting huminto.
Ang mga problema sa pamamahagi ng DANE sa mga browser ay nauugnay sa haba ng proseso ng pagpapatunay ng DNSSEC. Ang system ay napipilitang gumawa ng mga cryptographic na kalkulasyon upang kumpirmahin ang pagiging tunay ng SSL certificate at dumaan sa buong chain ng mga DNS server (mula sa root zone hanggang sa host domain) noong unang kumonekta sa isang mapagkukunan.
Sinubukan ng Mozilla na alisin ang disbentaha na ito gamit ang mekanismo DNSSEC Chain Extension para sa TLS. Ito ay dapat na bawasan ang bilang ng mga tala ng DNS na kailangang hanapin ng kliyente sa panahon ng pagpapatunay. Gayunpaman, ang mga hindi pagkakasundo ay lumitaw sa loob ng grupo ng pag-unlad na hindi malutas. Bilang resulta, inabandona ang proyekto, bagama't inaprubahan ito ng IETF noong Marso 2018.
Ang isa pang dahilan para sa mababang katanyagan ng DANE ay ang mababang pagkalat ng DNSSEC sa mundo - 19% lamang ng mga mapagkukunan ang gumagana dito. Nadama ng mga eksperto na hindi ito sapat para aktibong isulong ang DANE.