我們討論什麼是 DANE 技術,用於使用 DNS 驗證域名,以及為什麼它沒有在瀏覽器中廣泛使用。
/不飛濺/
什麼是DANE
認證機構 (CA) 是這樣的組織: 密碼證書 。 他們在上面加上電子簽名,確認其真實性。 然而,有時會出現違規頒發證書的情況。 例如,去年,由於賽門鐵克證書遭到洩露,谷歌啟動了針對賽門鐵克證書的“去信任程序”(我們在博客中詳細介紹了這個故事 - и ).
為了避免這種情況,幾年前 IETF DANE技術(但它並沒有在瀏覽器中廣泛使用——我們稍後會討論為什麼會發生這種情況)。
DANE(基於 DNS 的命名實體驗證)是一組規範,可讓您使用 DNSSEC(名稱系統安全擴充)來控制 SSL 憑證的有效性。 DNSSEC 是網域名稱系統的擴展,可最大限度地減少地址欺騙攻擊。 使用這兩種技術,網站管理員或客戶可以聯絡 DNS 區域營運商之一併確認所使用的憑證的有效性。
本質上,DANE 充當自簽名憑證(其可靠性的保證者是 DNSSEC)並補充了 CA 的功能。
Какэтоработает
DANE 規範描述於 。 根據該文件,在 新增了新類型 - TLSA。 它包含有關正在傳輸的證書、正在傳輸的資料的大小和類型以及資料本身的資訊。 網站管理員建立憑證的數位指紋,使用 DNSSEC 對其進行簽名,並將其放入 TLSA 中。
用戶端連接到 Internet 上的站點,並將其憑證與從 DNS 運營商收到的「副本」進行比較。 如果它們匹配,則該資源被視為可信。
DANE wiki 頁面提供了以下在 TCP 連接埠 443 上向 example.org 發出 DNS 請求的範例:
IN TLSA _443._tcp.example.org答案看起來像這樣:
_443._tcp.example.com. IN TLSA (
3 0 0 30820307308201efa003020102020... )
DANE 有多個可處理 TLSA 以外的 DNS 記錄的擴充。 第一個是 SSHFP DNS 記錄,用於驗證 SSH 連線上的金鑰。 它描述於 , и 。 第二個是使用 PGP 進行金鑰交換的 OPENPGPKEY 條目()。 最後第三個是SMIMEA記錄(該標準在RFC中沒有正式化,有 )透過 S/MIME 進行加密金鑰交換。
DANE有什麼問題
XNUMX月中旬,召開了DNS-OARC會議(這是一個處理域名系統安全、穩定和發展的非營利組織)。 其中一位專家組的專家 瀏覽器中的 DANE 技術已經失敗(至少在目前的實作中)。 出席會議 Geoff Huston,首席研究科學家 ,五個地區網路註冊商之一, 將 DANE 視為「死技術」。
流行的瀏覽器不支援使用 DANE 進行憑證驗證。 在市場上 ,它揭示了 TLSA 記錄的功能,以及它們的支持 .
瀏覽器中 DANE 分發的問題與 DNSSEC 驗證過程的長度有關。 當首次連接到資源時,系統被迫進行加密計算以確認 SSL 憑證的真實性並遍歷整個 DNS 伺服器鏈(從根區域到主機網域)。
/不飛濺/
Mozilla 試圖使用這個機制來消除這個缺點 對於 TLS。 它應該會減少客戶端在身份驗證期間必須查找的 DNS 記錄的數量。 然而,開發團隊內部出現了無法解決的分歧。 結果,儘管該項目於 2018 年 XNUMX 月獲得了 IETF 的批准,但還是被放棄了。
DANE 普及率不高的另一個原因是 DNSSEC 在全球的普及率較低 - 。 專家認為,這還不足以積極推廣DANE。
最有可能的是,該行業將朝著不同的方向發展。 市場參與者將推廣 DNS-over-TLS (DoT) 和 DNS-over-HTTPS (DoH) 協議,而不是使用 DNS 來驗證 SSL/TLS 憑證。 我們在一篇文章中提到了後者 關於哈布雷。 它們加密並驗證使用者向 DNS 伺服器發出的請求,防止攻擊者欺騙資料。 今年年初,DoT 已經 向 Google 提供其公共 DNS。 至於DANE,該技術是否能夠「重新回到馬鞍上」並且仍然廣泛應用還有待觀察。
我們還有什麼需要進一步閱讀:
來源: www.habr.com