نحن نتحدث عن تقنية DANE للمصادقة على اسم مجال DNS ولماذا لا يتم استخدامها على نطاق واسع في المتصفحات.
/ Unsplash / Paulius Dragunasما هو دان
المراجع المصدقة (CAs) هي مؤسسات تصادق على
شهادات SSL المشفرة. وضعوا توقيعهم الإلكتروني عليها ، مما يؤكد صحة. ومع ذلك ، في بعض الأحيان تنشأ حالات عندما تصدر الشهادات مع وجود انتهاكات. على سبيل المثال ، بدأت Google في العام الماضي إجراء "إنهاء الثقة" لشهادات سيمانتيك بسبب تنازلاتها (قمنا بتغطية هذه القصة بالتفصيل في مدونتنا -
مرة أو
مرتين ).
لتجنب مثل هذه المواقف ، قبل بضع سنوات ،
بدأ IETF
في تطوير تقنية DANE (ولكن لم يتم استخدامها على نطاق واسع في المتصفحات - لماذا يحدث هذا ، سنتحدث لاحقًا).
DANE (مصادقة الكيانات المسماة المستندة إلى DNS) هي مجموعة من المواصفات التي تسمح لك باستخدام DNSSEC (ملحقات أمان نظام الاسم) للتحكم في صلاحية شهادات SSL. DNSSEC هو امتداد لنظام اسم النطاق الذي يقلل من الهجمات المرتبطة بالتحايل. باستخدام هاتين التقنيتين ، يمكن لمسؤول الموقع أو العميل الاتصال بأحد مشغلي منطقة DNS وتأكيد صحة الشهادة المستخدمة.
في الواقع ، تعمل DANE كشهادة موقعة ذاتيا (DNSSEC هي الضامن لموثوقيتها) وتستكمل وظائف CA.
كيف يعمل؟
يتم وصف مواصفات DANE في
RFC6698 . وفقًا للوثيقة ، تمت إضافة نوع جديد إلى
سجلات موارد DNS - TLSA. أنه يحتوي على معلومات حول الشهادة المرسلة ، وحجم ونوع البيانات المرسلة ، وكذلك البيانات نفسها. ينشئ المسؤول عن الموقع بصمة رقمية للشهادة ، ويوقعها مع DNSSEC ، ويضعها في TLSA.
يتصل العميل بالموقع على الإنترنت ويقارن شهادته بـ "نسخة" تم استلامها من مشغل DNS. إذا كانت متطابقة ، فسيتم اعتبار المورد موثوق به.
توفر صفحة الويكي DANE المثال التالي لاستعلام DNS لخادم example.org عبر منفذ TCP 443:
IN TLSA _443._tcp.example.org
الجواب عليه يبدو كالتالي:
_443._tcp.example.com. IN TLSA ( 3 0 0 30820307308201efa003020102020... )
لدى DANE عدة امتدادات تعمل مع سجلات DNS الأخرى إلى جانب TLSA. الأول هو سجل DNS SSHFP للتحقق من مفتاح اتصالات SSH. يوصف في
RFC4255 ،
RFC6594 و
RFC7479 . والثاني هو إدخال OPENPGPKEY لتبادل المفاتيح باستخدام PGP (
RFC7929 ). أخيرًا ، الثالث هو سجل SMIMEA (لم يتم وضع المعيار في RFC ، هناك
مسودة فقط ) لتبادل مفتاح التشفير عبر S / MIME.
ما هي المشكلة مع DANE
في منتصف شهر مايو ، تم عقد مؤتمر DNS-OARC (هذه منظمة غير ربحية تتعامل مع الأمن والاستقرار وتطوير نظام اسم النطاق). على إحدى اللوحات ،
خلص الخبراء
إلى أن تقنية DANE في المتصفحات فشلت (على الأقل في التنفيذ الحالي). أثناء حضور المؤتمر ، تحدث جيف هيوستن ، زميل بارز في
APNIC ، أحد مسجلي الإنترنت الإقليميين الخمسة ،
عن DANE باعتبارها "تكنولوجيا ميتة".
المتصفحات الشائعة لا تدعم مصادقة الشهادة مع DANE. هناك إضافات خاصة في السوق تكشف عن وظائف سجلات TLSA ، ولكن يتم تدريجيا دعمها.
ترتبط مشاكل انتشار DANE في المتصفحات بمدة عملية التحقق من DNSSEC. يتم إجبار النظام على إجراء حسابات تشفير لتأكيد صحة شهادة SSL والانتقال عبر سلسلة خوادم DNS بالكامل (من منطقة الجذر إلى المجال المضيف) عند الاتصال بالمورد لأول مرة.
/ Unsplash / Kaley Dykstraتمت تجربة هذا الخلل في موزيلا باستخدام
امتداد سلسلة DNSSEC لـ TLS. كان من المفترض تقليل عدد سجلات DNS التي كان على العميل البحث فيها أثناء المصادقة. ومع ذلك ، نشأت خلافات داخل فريق التطوير لا يمكن حلها. ونتيجة لذلك ، تم التخلي عن المشروع ، على الرغم من موافقة IETF عليه في مارس 2018.
سبب آخر لانخفاض شعبية DANE هو انخفاض معدل انتشار DNSSEC في العالم -
19 ٪ فقط من الموارد تعمل معها . شعر الخبراء أن هذا لم يكن كافيا لتعزيز بنشاط DANE.
على الأرجح ، ستتطور الصناعة في اتجاه مختلف. بدلاً من استخدام DNS للتحقق من شهادات SSL / TLS ، سيعمل اللاعبون في السوق ، على العكس من ذلك ، على الترويج لبروتوكولات DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH). ذكرنا الأخير في واحدة من
المواد السابقة على حبري. يقومون بتشفير طلبات المستخدم والتحقق منها إلى خادم DNS ، مما يمنع المهاجمين من خداع البيانات. في بداية العام ، تم
تطبيق DoT بالفعل على Google لنظام DNS العام الخاص بها. أما بالنسبة لـ DANE ، فما إذا كانت التكنولوجيا ستتمكن من "العودة إلى السرج" وما زالت تصبح كتلة ، فلا يزال يتعين رؤيتها في المستقبل.
ماذا لدينا لقراءة إضافية:
كيفية أتمتة إدارة البنية التحتية لتكنولوجيا المعلومات - مناقشة ثلاثة اتجاهات
JMAP - بروتوكول مفتوح يحل محل IMAP عند تبادل رسائل البريد الإلكتروني
كيفية توفير المال باستخدام واجهة برمجة التطبيقات
DevOps في خدمة سحابية باستخدام 1cloud.ru كمثال
1cloud تطور العمارة السحابية
كيف يعمل الدعم الفني 1cloud
سحابة الخرافات