我们讨论什么是 DANE 技术,用于使用 DNS 验证域名,以及为什么它没有在浏览器中广泛使用。
/不飞溅/
什么是DANE
认证机构 (CA) 是这样的组织:
为了避免这种情况,几年前 IETF
DANE(基于 DNS 的命名实体身份验证)是一组规范,允许您使用 DNSSEC(名称系统安全扩展)来控制 SSL 证书的有效性。 DNSSEC 是域名系统的扩展,可最大限度地减少地址欺骗攻击。 使用这两种技术,网站管理员或客户可以联系 DNS 区域运营商之一并确认所使用的证书的有效性。
本质上,DANE 充当自签名证书(其可靠性的保证者是 DNSSEC)并补充了 CA 的功能。
怎么开动这个
DANE 规范描述于
客户端连接到 Internet 上的站点,并将其证书与从 DNS 运营商收到的“副本”进行比较。 如果它们匹配,则该资源被视为可信。
DANE wiki 页面提供了以下在 TCP 端口 443 上向 example.org 发出 DNS 请求的示例:
IN TLSA _443._tcp.example.org
答案看起来像这样:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE 有多个可处理 TLSA 之外的 DNS 记录的扩展。 第一个是 SSHFP DNS 记录,用于验证 SSH 连接上的密钥。 它描述于
DANE有什么问题
XNUMX月中旬,召开了DNS-OARC会议(这是一个处理域名系统安全、稳定和发展的非盈利组织)。 其中一位专家组的专家
流行的浏览器不支持使用 DANE 进行证书身份验证。 在市场上
有专门的插件 ,它揭示了 TLSA 记录的功能,以及它们的支持逐渐停止 .
浏览器中 DANE 分发的问题与 DNSSEC 验证过程的长度有关。 当首次连接到资源时,系统被迫进行加密计算以确认 SSL 证书的真实性并遍历整个 DNS 服务器链(从根区域到主机域)。
/不飞溅/
Mozilla 试图使用该机制来消除这个缺点
DANE 普及率不高的另一个原因是 DNSSEC 在全球的普及率较低 -
最有可能的是,该行业将朝着不同的方向发展。 市场参与者将推广 DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH) 协议,而不是使用 DNS 来验证 SSL/TLS 证书。 我们在一篇文章中提到了后者
我们还有什么需要进一步阅读:
如何实现 IT 基础设施管理自动化 - 讨论三个趋势
JMAP - 一种开放协议,在交换电子邮件时将取代 IMAP
来源: habr.com