我们讨论什么是 DANE 技术,用于使用 DNS 验证域名,以及为什么它没有在浏览器中广泛使用。
/不飞溅/
什么是DANE
认证机构 (CA) 是这样的组织: 密码证书 。 他们在上面加上电子签名,确认其真实性。 然而,有时会出现违规颁发证书的情况。 例如,去年,由于赛门铁克证书遭到泄露,谷歌启动了针对赛门铁克证书的“去信任程序”(我们在博客中详细介绍了这个故事 - и ).
为了避免这种情况,几年前 IETF DANE技术(但它并没有在浏览器中广泛使用——我们稍后会讨论为什么会发生这种情况)。
DANE(基于 DNS 的命名实体身份验证)是一组规范,允许您使用 DNSSEC(名称系统安全扩展)来控制 SSL 证书的有效性。 DNSSEC 是域名系统的扩展,可最大限度地减少地址欺骗攻击。 使用这两种技术,网站管理员或客户可以联系 DNS 区域运营商之一并确认所使用的证书的有效性。
本质上,DANE 充当自签名证书(其可靠性的保证者是 DNSSEC)并补充了 CA 的功能。
怎么开动这个
DANE 规范描述于 。 根据该文件,在 添加了新类型 - TLSA。 它包含有关正在传输的证书、正在传输的数据的大小和类型以及数据本身的信息。 网站管理员创建证书的数字指纹,使用 DNSSEC 对其进行签名,并将其放入 TLSA 中。
客户端连接到 Internet 上的站点,并将其证书与从 DNS 运营商收到的“副本”进行比较。 如果它们匹配,则该资源被视为可信。
DANE wiki 页面提供了以下在 TCP 端口 443 上向 example.org 发出 DNS 请求的示例:
IN TLSA _443._tcp.example.org答案看起来像这样:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE 有多个可处理 TLSA 之外的 DNS 记录的扩展。 第一个是 SSHFP DNS 记录,用于验证 SSH 连接上的密钥。 它描述于 , и 。 第二个是使用 PGP 进行密钥交换的 OPENPGPKEY 条目()。 最后第三个是SMIMEA记录(该标准在RFC中没有正式化,有 )通过 S/MIME 进行加密密钥交换。
DANE有什么问题
XNUMX月中旬,召开了DNS-OARC会议(这是一个处理域名系统安全、稳定和发展的非盈利组织)。 其中一位专家组的专家 浏览器中的 DANE 技术已经失败(至少在当前的实现中)。 出席会议 Geoff Huston,首席研究科学家 ,五个地区互联网注册商之一, 将 DANE 视为“死技术”。
流行的浏览器不支持使用 DANE 进行证书身份验证。 在市场上 ,它揭示了 TLSA 记录的功能,以及它们的支持 .
浏览器中 DANE 分发的问题与 DNSSEC 验证过程的长度有关。 当首次连接到资源时,系统被迫进行加密计算以确认 SSL 证书的真实性并遍历整个 DNS 服务器链(从根区域到主机域)。
/不飞溅/
Mozilla 试图使用该机制来消除这个缺点 对于 TLS。 它应该减少客户端在身份验证期间必须查找的 DNS 记录的数量。 然而,开发团队内部出现了无法解决的分歧。 结果,尽管该项目于 2018 年 XNUMX 月获得了 IETF 的批准,但还是被放弃了。
DANE 普及率不高的另一个原因是 DNSSEC 在全球的普及率较低 - 。 专家认为,这还不足以积极推广DANE。
最有可能的是,该行业将朝着不同的方向发展。 市场参与者将推广 DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH) 协议,而不是使用 DNS 来验证 SSL/TLS 证书。 我们在一篇文章中提到了后者 关于哈布雷。 它们加密并验证用户向 DNS 服务器发出的请求,防止攻击者欺骗数据。 今年年初,DoT 就已经 向 Google 提供其公共 DNS。 至于DANE,该技术是否能够“重新回到马鞍上”并仍然得到广泛应用还有待观察。
我们还有什么需要进一步阅读:
来源: habr.com