Chúng ta nói về công nghệ DANE dùng để xác thực tên miền bằng DNS và tại sao nó không được sử dụng rộng rãi trong các trình duyệt.
/bỏ dấu vân tay/
DANE là gì
Cơ quan cấp chứng chỉ (CA) là các tổ chức chứng chỉ mật mã . Họ đặt chữ ký điện tử lên chúng, xác nhận tính xác thực của chúng. Tuy nhiên, đôi khi có những tình huống phát sinh khi giấy chứng nhận được cấp có vi phạm. Ví dụ: năm ngoái, Google đã khởi xướng “thủ tục hủy bỏ lòng tin” đối với các chứng chỉ của Symantec do sự xâm phạm của họ (chúng tôi đã trình bày chi tiết câu chuyện này trong blog của mình - и ).
Để tránh những tình huống như vậy, vài năm trước IETF Công nghệ DANE (nhưng nó không được sử dụng rộng rãi trong các trình duyệt - chúng ta sẽ nói về lý do tại sao điều này xảy ra sau).
DANE (Xác thực các thực thể được đặt tên dựa trên DNS) là một bộ thông số kỹ thuật cho phép bạn sử dụng DNSSEC (Tiện ích mở rộng bảo mật hệ thống tên) để kiểm soát tính hợp lệ của chứng chỉ SSL. DNSSEC là phần mở rộng của Hệ thống tên miền giúp giảm thiểu các cuộc tấn công giả mạo địa chỉ. Bằng cách sử dụng hai công nghệ này, quản trị viên web hoặc khách hàng có thể liên hệ với một trong các nhà khai thác vùng DNS và xác nhận tính hợp lệ của chứng chỉ đang được sử dụng.
Về cơ bản, DANE hoạt động như một chứng chỉ tự ký (người bảo đảm độ tin cậy của nó là DNSSEC) và bổ sung các chức năng của CA.
Làm thế nào nó hoạt động
Đặc tả DANE được mô tả trong . Theo tài liệu, ở một loại mới đã được thêm vào - TLSA. Nó chứa thông tin về chứng chỉ được truyền, kích thước và loại dữ liệu được truyền cũng như chính dữ liệu đó. Quản trị viên web tạo dấu vân tay kỹ thuật số của chứng chỉ, ký chứng chỉ đó với DNSSEC và đặt nó vào TLSA.
Máy khách kết nối với một trang web trên Internet và so sánh chứng chỉ của nó với “bản sao” nhận được từ nhà điều hành DNS. Nếu chúng khớp nhau thì tài nguyên được coi là đáng tin cậy.
Trang wiki DANE cung cấp ví dụ sau về yêu cầu DNS tới example.org trên cổng TCP 443:
IN TLSA _443._tcp.example.orgCâu trả lời trông như thế này:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE có một số tiện ích mở rộng hoạt động với các bản ghi DNS khác ngoài TLSA. Đầu tiên là bản ghi DNS SSHFP để xác thực các khóa trên kết nối SSH. Nó được mô tả trong , и . Thứ hai là mục OPENPGPKEY để trao đổi khóa bằng PGP (). Cuối cùng, thứ ba là bản ghi SMIMEA (tiêu chuẩn này chưa được chính thức hóa trong RFC, có ) để trao đổi khóa mật mã qua S/MIME.
Có vấn đề gì với DANE vậy
Vào giữa tháng XNUMX, hội nghị DNS-OARC đã được tổ chức (đây là một tổ chức phi lợi nhuận chuyên về vấn đề bảo mật, ổn định và phát triển hệ thống tên miền). Các chuyên gia trên một trong các bảng rằng công nghệ DANE trong trình duyệt đã thất bại (ít nhất là trong quá trình triển khai hiện tại). Trình bày tại hội thảo Geoff Huston, Nhà khoa học nghiên cứu hàng đầu , một trong năm nhà đăng ký Internet khu vực, về Dane như một “công nghệ chết”.
Các trình duyệt phổ biến không hỗ trợ xác thực chứng chỉ bằng DANE. Trên thị trường , tiết lộ chức năng của bản ghi TLSA cũng như sự hỗ trợ của chúng .
Các vấn đề về phân phối DANE trong trình duyệt có liên quan đến độ dài của quá trình xác thực DNSSEC. Hệ thống buộc phải thực hiện các phép tính mật mã để xác nhận tính xác thực của chứng chỉ SSL và đi qua toàn bộ chuỗi máy chủ DNS (từ vùng gốc đến miền máy chủ) khi lần đầu kết nối với tài nguyên.
/bỏ dấu vân tay/
Mozilla đã cố gắng loại bỏ nhược điểm này bằng cơ chế cho TLS. Nó được cho là sẽ giảm số lượng bản ghi DNS mà khách hàng phải tra cứu trong quá trình xác thực. Tuy nhiên, những bất đồng nảy sinh trong nhóm phát triển không thể giải quyết được. Kết quả là dự án đã bị bỏ dở dù đã được IETF phê duyệt vào tháng 2018 năm XNUMX.
Một lý do khác khiến DANE ít phổ biến là mức độ phổ biến của DNSSEC thấp trên thế giới - . Các chuyên gia cảm thấy rằng điều này là chưa đủ để tích cực quảng bá DANE.
Nhiều khả năng ngành sẽ phát triển theo một hướng khác. Thay vì sử dụng DNS để xác minh chứng chỉ SSL/TLS, những người tham gia thị trường sẽ quảng cáo các giao thức DNS-over-TLS (DoT) và DNS-over-HTTPS (DoH). Chúng tôi đã đề cập đến điều sau trong một trong những ở Habré. Chúng mã hóa và xác minh các yêu cầu của người dùng tới máy chủ DNS, ngăn chặn kẻ tấn công giả mạo dữ liệu. Vào đầu năm, DoT đã cho Google về DNS công cộng của nó. Đối với DANE, liệu công nghệ này có thể “trở lại yên xe” và trở nên phổ biến hay không vẫn còn phải chờ xem trong tương lai.
Những gì chúng tôi có để đọc thêm:
Nguồn: www.habr.com