我們討論什麼是 DANE 技術,用於使用 DNS 驗證域名,以及為什麼它沒有在瀏覽器中廣泛使用。
/不飛濺/
什麼是DANE
認證機構 (CA) 是這樣的組織:
為了避免這種情況,幾年前 IETF
DANE(基於 DNS 的命名實體驗證)是一組規範,可讓您使用 DNSSEC(名稱系統安全擴充)來控制 SSL 憑證的有效性。 DNSSEC 是網域名稱系統的擴展,可最大限度地減少地址欺騙攻擊。 使用這兩種技術,網站管理員或客戶可以聯絡 DNS 區域營運商之一併確認所使用的憑證的有效性。
本質上,DANE 充當自簽名憑證(其可靠性的保證者是 DNSSEC)並補充了 CA 的功能。
Какэтоработает
DANE 規範描述於
用戶端連接到 Internet 上的站點,並將其憑證與從 DNS 運營商收到的「副本」進行比較。 如果它們匹配,則該資源被視為可信。
DANE wiki 頁面提供了以下在 TCP 連接埠 443 上向 example.org 發出 DNS 請求的範例:
IN TLSA _443._tcp.example.org
答案看起來像這樣:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE 有多個可處理 TLSA 以外的 DNS 記錄的擴充。 第一個是 SSHFP DNS 記錄,用於驗證 SSH 連線上的金鑰。 它描述於
DANE有什麼問題
XNUMX月中旬,召開了DNS-OARC會議(這是一個處理域名系統安全、穩定和發展的非營利組織)。 其中一位專家組的專家
流行的瀏覽器不支援使用 DANE 進行憑證驗證。 在市場上
有專門的插件 ,它揭示了 TLSA 記錄的功能,以及它們的支持逐漸停止 .
瀏覽器中 DANE 分發的問題與 DNSSEC 驗證過程的長度有關。 當首次連接到資源時,系統被迫進行加密計算以確認 SSL 憑證的真實性並遍歷整個 DNS 伺服器鏈(從根區域到主機網域)。
/不飛濺/
Mozilla 試圖使用這個機制來消除這個缺點
DANE 普及率不高的另一個原因是 DNSSEC 在全球的普及率較低 -
最有可能的是,該行業將朝著不同的方向發展。 市場參與者將推廣 DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH) 協議,而不是使用 DNS 來驗證 SSL/TLS 憑證。 我們在一篇文章中提到了後者
我們還有什麼需要進一步閱讀:
如何實現 IT 基礎設施管理自動化 - 討論三個趨勢
JMAP - 一種開放協議,在交換電子郵件時將取代 IMAP
來源: www.habr.com