Pinag-uusapan natin kung ano ang teknolohiya ng DANE para sa pag-authenticate ng mga domain name gamit ang DNS at kung bakit hindi ito malawak na ginagamit sa mga browser.
/Unsplash/
Ano ang DANE
Ang mga Certification Authority (CA) ay mga organisasyon na sertipiko ng cryptographic . Inilagay nila ang kanilang electronic signature sa kanila, na nagpapatunay sa kanilang pagiging tunay. Gayunpaman, kung minsan ang mga sitwasyon ay lumitaw kapag ang mga sertipiko ay inisyu na may mga paglabag. Halimbawa, noong nakaraang taon, sinimulan ng Google ang isang "pamamaraan sa pagwawasto" para sa mga sertipiko ng Symantec dahil sa kanilang kompromiso (tinalakay namin ang kuwentong ito nang detalyado sa aming blog - ΠΈ ).
Upang maiwasan ang mga ganitong sitwasyon, ilang taon na ang nakalipas ang IETF Ang teknolohiya ng DANE (ngunit hindi ito malawak na ginagamit sa mga browser - pag-uusapan natin kung bakit nangyari ito sa ibang pagkakataon).
Ang DANE (DNS-based Authentication of Named Entities) ay isang hanay ng mga detalye na nagbibigay-daan sa iyong gamitin ang DNSSEC (Name System Security Extensions) upang kontrolin ang bisa ng mga SSL certificate. Ang DNSSEC ay isang extension sa Domain Name System na nagpapaliit sa mga pag-atake ng panggagaya sa address. Gamit ang dalawang teknolohiyang ito, maaaring makipag-ugnayan ang isang webmaster o kliyente sa isa sa mga operator ng DNS zone at kumpirmahin ang bisa ng certificate na ginagamit.
Sa esensya, kumikilos ang DANE bilang isang self-signed certificate (ang tagagarantiya ng pagiging maaasahan nito ay DNSSEC) at umaakma sa mga function ng isang CA.
ΠΠ°ΠΊ ΡΡΠΎ ΡΠ°Π±ΠΎΡΠ°Π΅Ρ
Ang detalye ng DANE ay inilarawan sa . Ayon sa dokumento, sa isang bagong uri ang idinagdag - TLSA. Naglalaman ito ng impormasyon tungkol sa inililipat na sertipiko, ang laki at uri ng data na inililipat, pati na rin ang data mismo. Gumagawa ang webmaster ng digital thumbprint ng certificate, nilagdaan ito gamit ang DNSSEC, at inilalagay ito sa TLSA.
Kumokonekta ang kliyente sa isang site sa Internet at inihambing ang sertipiko nito sa "kopya" na natanggap mula sa DNS operator. Kung magkatugma ang mga ito, maituturing na pinagkakatiwalaan ang mapagkukunan.
Ang pahina ng wiki ng DANE ay nagbibigay ng sumusunod na halimbawa ng isang kahilingan sa DNS sa example.org sa TCP port 443:
IN TLSA _443._tcp.example.orgAng sagot ay ganito:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
Ang DANE ay may ilang extension na gumagana sa mga tala ng DNS maliban sa TLSA. Ang una ay ang SSHFP DNS record para sa pagpapatunay ng mga key sa mga koneksyon sa SSH. Ito ay inilarawan sa , ΠΈ . Ang pangalawa ay ang OPENPGPKEY entry para sa key exchange gamit ang PGP (). Sa wakas, ang pangatlo ay ang rekord ng SMIMEA (ang pamantayan ay hindi pormal sa RFC, mayroon ) para sa cryptographic key exchange sa pamamagitan ng S/MIME.
Ano bang problema ni DANE
Noong kalagitnaan ng Mayo, ginanap ang DNS-OARC conference (ito ay isang non-profit na organisasyon na tumatalakay sa seguridad, katatagan at pag-unlad ng domain name system). Mga eksperto sa isa sa mga panel na ang teknolohiya ng DANE sa mga browser ay nabigo (hindi bababa sa kasalukuyang pagpapatupad nito). Present sa conference Geoff Huston, Nangungunang Research Scientist , isa sa limang regional Internet registrar, tungkol sa DANE bilang isang "patay na teknolohiya".
Hindi sinusuportahan ng mga sikat na browser ang pagpapatunay ng certificate gamit ang DANE. Sa palengke , na nagpapakita ng paggana ng mga tala ng TLSA, ngunit pati na rin ang kanilang suporta .
Ang mga problema sa pamamahagi ng DANE sa mga browser ay nauugnay sa haba ng proseso ng pagpapatunay ng DNSSEC. Ang system ay napipilitang gumawa ng mga cryptographic na kalkulasyon upang kumpirmahin ang pagiging tunay ng SSL certificate at dumaan sa buong chain ng mga DNS server (mula sa root zone hanggang sa host domain) noong unang kumonekta sa isang mapagkukunan.
/Unsplash/
Sinubukan ng Mozilla na alisin ang disbentaha na ito gamit ang mekanismo para sa TLS. Ito ay dapat na bawasan ang bilang ng mga tala ng DNS na kailangang hanapin ng kliyente sa panahon ng pagpapatunay. Gayunpaman, ang mga hindi pagkakasundo ay lumitaw sa loob ng grupo ng pag-unlad na hindi malutas. Bilang resulta, inabandona ang proyekto, bagama't inaprubahan ito ng IETF noong Marso 2018.
Ang isa pang dahilan para sa mababang katanyagan ng DANE ay ang mababang pagkalat ng DNSSEC sa mundo - . Nadama ng mga eksperto na hindi ito sapat para aktibong isulong ang DANE.
Malamang, uunlad ang industriya sa ibang direksyon. Sa halip na gumamit ng DNS para i-verify ang mga SSL/TLS certificate, ipo-promote na lang ng mga market player ang DNS-over-TLS (DoT) at DNS-over-HTTPS (DoH) na protocol. Binanggit namin ang huli sa isa sa aming kay HabrΓ©. Ine-encrypt at bini-verify nila ang mga kahilingan ng user sa DNS server, na pumipigil sa mga attacker na mang-spoof ng data. Sa simula ng taon, DoT na sa Google para sa Public DNS nito. Tulad ng para sa DANE, kung ang teknolohiya ay magagawang "bumalik sa saddle" at magiging laganap pa rin ay nananatiling makikita sa hinaharap.
Ano pa ang mayroon tayo para sa karagdagang pagbabasa:
Pinagmulan: www.habr.com