Nous parlons de ce qu'est la technologie DANE pour l'authentification de nom de domaine DNS et pourquoi elle n'est pas largement utilisée dans les navigateurs.
/ Unsplash / Paulius DragunasQu'est-ce que DANE
Les autorités de certification (AC) sont des organisations qui certifient
les certificats SSL cryptographiques. Ils y ont apposé leur signature électronique, confirmant l'authenticité. Cependant, des situations surviennent parfois lorsque des certificats sont émis avec des violations. Par exemple, l'année dernière, Google a lancé une procédure de «cessation de confiance» pour les certificats Symantec en raison de leur compromis (nous avons couvert cette histoire en détail dans notre blog -
une ou
deux fois ).
Pour éviter de telles situations, il y a quelques années, l'IETF a
commencé à développer la technologie DANE (mais elle n'était pas largement utilisée dans les navigateurs - pourquoi cela se produit, nous parlerons plus tard).
DANE (DNS-based Authentication of Named Entities) est un ensemble de spécifications qui vous permet d'utiliser DNSSEC (Name System Security Extensions) pour contrôler la validité des certificats SSL. DNSSEC est une extension du système de noms de domaine qui minimise les attaques associées à l'usurpation d'identité. À l'aide de ces deux technologies, le webmaster ou le client peut contacter l'un des opérateurs de zone DNS et confirmer la validité du certificat utilisé.
En effet, DANE agit comme un certificat auto-signé (DNSSEC est le garant de sa fiabilité) et complète les fonctions de CA.
Comment ça marche
La spécification DANE est décrite dans la
RFC6698 . Selon le document, un nouveau type a été ajouté aux
enregistrements de ressources DNS - TLSA. Il contient des informations sur le certificat transmis, la taille et le type des données transmises, ainsi que les données elles-mêmes. Le webmaster crée une empreinte numérique du certificat, la signe avec DNSSEC et la place dans TLSA.
Le client se connecte au site sur Internet et compare son certificat à une «copie» reçue de l'opérateur DNS. S'ils correspondent, la ressource est considérée comme approuvée.
La page wiki DANE fournit l'exemple de requête DNS suivant pour le serveur example.org sur le port TCP 443:
IN TLSA _443._tcp.example.org
La réponse à cela ressemble à ceci:
_443._tcp.example.com. IN TLSA ( 3 0 0 30820307308201efa003020102020... )
DANE a plusieurs extensions qui fonctionnent avec d'autres enregistrements DNS en plus de TLSA. Le premier est l'enregistrement DNS SSHFP pour la vérification des clés des connexions SSH. Il est décrit dans les
RFC4255 ,
RFC6594 et
RFC7479 . Le second est l'entrée OPENPGPKEY pour l'échange de clés à l'aide de PGP (
RFC7929 ). Enfin, le troisième est l'enregistrement SMIMEA (la norme n'est pas établie dans le RFC, il n'y a
que son brouillon ) pour l'échange de clés cryptographiques via S / MIME.
Quel est le problème avec DANE
À la mi-mai, la conférence DNS-OARC s'est tenue (il s'agit d'une organisation à but non lucratif qui s'occupe de la sécurité, de la stabilité et du développement du système des noms de domaine). Sur l'un des panels, les experts ont
conclu que la technologie DANE dans les navigateurs avait échoué (au moins dans la mise en œuvre actuelle). Lors de la conférence, Geoff Huston, senior fellow à
APNIC , l'un des cinq bureaux d'enregistrement régionaux d'Internet,
a qualifié DANE de "technologie morte".
Les navigateurs populaires ne prennent pas en charge l'authentification par certificat avec DANE. Il existe sur le marché des plugins spéciaux qui révèlent la fonctionnalité des enregistrements TLSA, mais leur prise en charge est progressivement supprimée .
Les problèmes de propagation de DANE dans les navigateurs sont liés à la durée du processus de validation DNSSEC. Le système est obligé d'effectuer des calculs cryptographiques pour confirmer l'authenticité du certificat SSL et parcourir toute la chaîne des serveurs DNS (de la zone racine au domaine hôte) lors de la première connexion à la ressource.
/ Unsplash / Kaley DykstraCette faille a été tentée dans Mozilla en utilisant l'
extension de chaîne DNSSEC pour TLS. Il était censé réduire le nombre d'enregistrements DNS que le client devait parcourir lors de l'authentification. Cependant, des désaccords sont survenus au sein de l'équipe de développement qui n'ont pas pu être résolus. En conséquence, le projet a été abandonné, bien qu'il ait été approuvé par l'IETF en mars 2018.
Une autre raison de la faible popularité de DANE est la faible prévalence de DNSSEC dans le monde -
seulement 19% des ressources fonctionnent avec . Les experts ont estimé que cela ne suffisait pas pour promouvoir activement DANE.
Très probablement, l'industrie évoluera dans une direction différente. Au lieu d'utiliser DNS pour vérifier les certificats SSL / TLS, les acteurs du marché, au contraire, promouvront les protocoles DNS sur TLS (DoT) et DNS sur HTTPS (DoH). Nous avons mentionné le dernier dans l'un de nos
documents précédents sur Habré. Ils chiffrent et vérifient les demandes des utilisateurs au serveur DNS, empêchant les attaquants d'usurper les données. Au début de l'année, DoT était déjà
implémenté sur Google pour son DNS public. Quant à DANE, il reste à voir dans le futur si la technologie pourra «revenir en selle» et devenir encore massive.
Quoi d'autre avons-nous pour une lecture supplémentaire:
Comment automatiser la gestion de l'infrastructure informatique - discutez de trois tendances
JMAP - un protocole ouvert remplace IMAP lors de l'échange de courriels
Comment économiser de l'argent en utilisant l'interface de programmation d'application
DevOps dans un service cloud en utilisant 1cloud.ru comme exemple
1cloud Cloud Architecture Evolution
Comment fonctionne le support technique 1cloud
Mythes sur le cloud