DNS kullanarak alan adlarının kimliğini doğrulamak için DANE teknolojisinin ne olduğundan ve tarayıcılarda neden yaygın olarak kullanılmadığından bahsediyoruz.
/Sıçramayı aç/
DANE nedir?
Sertifika Yetkilileri (CA'lar), kriptografik sertifika . Orijinalliklerini onaylayan elektronik imzalarını üzerlerine koyarlar. Ancak bazen sertifikaların ihlallerle verildiği durumlar ortaya çıkar. Örneğin, geçen yıl Google, Symantec sertifikaları için güvenlik ihlali nedeniyle bir "güvensizlik prosedürü" başlattı (bu hikayeyi blogumuzda ayrıntılı olarak ele aldık - и ).
Bu tür durumlardan kaçınmak için birkaç yıl önce IETF DANE teknolojisi (ancak tarayıcılarda yaygın olarak kullanılmamaktadır - bunun neden olduğunu daha sonra konuşacağız).
DANE (Adlandırılmış Varlıkların DNS Tabanlı Kimlik Doğrulaması), SSL sertifikalarının geçerliliğini kontrol etmek için DNSSEC (Ad Sistemi Güvenlik Uzantıları) kullanmanızı sağlayan bir dizi spesifikasyondur. DNSSEC, adres sahtekarlığı saldırılarını en aza indiren Etki Alanı Adı Sisteminin bir uzantısıdır. Bu iki teknolojiyi kullanarak bir web yöneticisi veya istemci, DNS bölgesi operatörlerinden biriyle iletişime geçebilir ve kullanılan sertifikanın geçerliliğini doğrulayabilir.
Temel olarak DANE, kendinden imzalı bir sertifika görevi görür (güvenilirliğinin garantörü DNSSEC'dir) ve CA'nın işlevlerini tamamlar.
Bu nasıl çalışıyor
DANE spesifikasyonu şurada açıklanmıştır: . Belgeye göre, yeni bir tür eklendi - TLSA. Aktarılan sertifika, aktarılan verilerin boyutu ve türü ile verilerin kendisi hakkında bilgiler içerir. Web yöneticisi, sertifikanın dijital parmak izini oluşturur, bunu DNSSEC ile imzalar ve TLSA'ya yerleştirir.
İstemci İnternet'teki bir siteye bağlanır ve sertifikasını DNS operatöründen alınan "kopya" ile karşılaştırır. Eşleşirlerse kaynak güvenilir kabul edilir.
DANE wiki sayfası, TCP bağlantı noktası 443 üzerinden example.org'a yapılan DNS isteğinin aşağıdaki örneğini sağlar:
IN TLSA _443._tcp.example.orgCevap şuna benziyor:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE'in TLSA dışındaki DNS kayıtlarıyla çalışan çeşitli uzantıları vardır. Bunlardan ilki, SSH bağlantılarındaki anahtarları doğrulamak için kullanılan SSHFP DNS kaydıdır. Şurada anlatılmıştır: , и . İkincisi, PGP kullanarak anahtar değişimi için OPENPGPKEY girişidir (). Son olarak üçüncüsü SMIMEA kaydıdır (standart RFC'de resmileştirilmemiştir, ) S/MIME yoluyla kriptografik anahtar değişimi için.
DANE'in sorunu ne?
Mayıs ortasında, DNS-OARC konferansı düzenlendi (bu, alan adı sisteminin güvenliği, istikrarı ve geliştirilmesiyle ilgilenen kar amacı gütmeyen bir kuruluştur). Panellerden birinde uzmanlar tarayıcılardaki DANE teknolojisinin başarısız olduğu (en azından mevcut uygulamasında). Konferansta sunum yapan Öncü Araştırma Bilimcisi Geoff Huston beş bölgesel İnternet kayıt şirketinden biri, DANE'i "ölü bir teknoloji" olarak tanımlıyoruz.
Popüler tarayıcılar DANE kullanılarak sertifika kimlik doğrulamasını desteklemez. Piyasada TLSA kayıtlarının işlevselliğini ve aynı zamanda desteklerini de ortaya koyan .
Tarayıcılarda DANE dağıtımıyla ilgili sorunlar, DNSSEC doğrulama sürecinin uzunluğuyla ilişkilidir. Sistem, bir kaynağa ilk kez bağlanıldığında, SSL sertifikasının gerçekliğini doğrulamak ve tüm DNS sunucuları zincirini (kök bölgeden ana bilgisayar etki alanına kadar) gözden geçirmek için kriptografik hesaplamalar yapmak zorunda kalır.
/Sıçramayı aç/
Mozilla mekanizmayı kullanarak bu dezavantajı ortadan kaldırmaya çalıştı TLS için. Kimlik doğrulama sırasında istemcinin araması gereken DNS kayıtlarının sayısını azaltması gerekiyordu. Ancak geliştirme grubu içinde çözülemeyen anlaşmazlıklar ortaya çıktı. Sonuç olarak proje, Mart 2018'de IETF tarafından onaylanmasına rağmen terk edildi.
DANE'in popülaritesinin düşük olmasının bir başka nedeni de DNSSEC'nin dünyadaki yaygınlığının düşük olmasıdır - . Uzmanlar bunun DANE'i aktif olarak tanıtmak için yeterli olmadığını düşündü.
Büyük ihtimalle sektör farklı bir yönde gelişecek. Piyasa oyuncuları, SSL/TLS sertifikalarını doğrulamak için DNS kullanmak yerine, DNS-over-TLS (DoT) ve DNS-over-HTTPS (DoH) protokollerini teşvik edecek. İkincisinden, yazılarımızdan birinde bahsetmiştik. Habré'de. Kullanıcıların DNS sunucusuna yönelik isteklerini şifreleyip doğrulayarak saldırganların verileri taklit etmesini önlerler. Bu yılın başında DoT zaten Genel DNS için Google'a. DANE'e gelince, teknolojinin "yeniden başa dönüp oturamayacağı" ve hala yaygınlaşıp yaygınlaşamayacağı gelecekte görülecek.
Daha fazla okumak için elimizde başka ne var:
Kaynak: habr.com