Kita berbicara tentang apa teknologi DANE untuk otentikasi nama domain DNS dan mengapa itu tidak banyak digunakan di browser.
/ Unsplash / Paulius DragunasApa itu DANE?
Certificate Authorities (CAs) adalah organisasi yang mengesahkan
sertifikat SSL kriptografi. Mereka membubuhkan tanda tangan elektronik pada mereka, membenarkan keasliannya. Namun, kadang-kadang muncul situasi ketika sertifikat dikeluarkan dengan pelanggaran. Sebagai contoh, tahun lalu Google memprakarsai prosedur "penghentian kepercayaan" untuk sertifikat Symantec karena kompromi mereka (kami membahas kisah ini secara rinci di blog kami -
satu atau
dua kali ).
Untuk menghindari situasi seperti itu, beberapa tahun yang lalu, IETF
mulai mengembangkan teknologi DANE (tapi itu tidak banyak digunakan di browser - mengapa ini terjadi, kita akan bicara nanti).
DANE (Otentikasi Berbasis Entitas Entitas Bernama) adalah serangkaian spesifikasi yang memungkinkan Anda untuk menggunakan DNSSEC (Ekstensi Keamanan Sistem Nama) untuk mengontrol validitas sertifikat SSL. DNSSEC adalah ekstensi untuk sistem nama domain yang meminimalkan serangan yang terkait dengan spoofing. Dengan menggunakan dua teknologi ini, webmaster atau klien dapat menghubungi salah satu operator zona DNS dan mengonfirmasi validitas sertifikat yang digunakan.
Bahkan, DANE bertindak sebagai sertifikat yang ditandatangani sendiri (DNSSEC adalah penjamin keandalannya) dan melengkapi fungsi CA.
Bagaimana cara kerjanya
Spesifikasi DANE dijelaskan dalam
RFC6698 . Menurut dokumen itu, tipe baru telah ditambahkan ke
catatan sumber daya DNS - TLSA. Ini berisi informasi tentang sertifikat yang ditransmisikan, ukuran dan jenis data yang dikirimkan, serta data itu sendiri. Webmaster membuat sidik jari digital sertifikat, menandatanganinya dengan DNSSEC, dan menempatkannya di TLSA.
Klien terhubung ke situs di Internet dan membandingkan sertifikatnya dengan "salinan" yang diterima dari operator DNS. Jika cocok, maka sumber daya dianggap tepercaya.
Halaman wiki DANE menyediakan contoh berikut permintaan DNS untuk server example.org melalui port TCP 443:
IN TLSA _443._tcp.example.org
Jawabannya terlihat seperti ini:
_443._tcp.example.com. IN TLSA ( 3 0 0 30820307308201efa003020102020... )
DANE memiliki beberapa ekstensi yang berfungsi dengan catatan DNS lain selain TLSA. Yang pertama adalah data DNS SSHFP untuk verifikasi kunci untuk koneksi SSH. Ini dijelaskan dalam
RFC4255 ,
RFC6594 dan
RFC7479 . Yang kedua adalah entri OPENPGPKEY untuk pertukaran kunci menggunakan PGP (
RFC7929 ). Akhirnya, yang ketiga adalah catatan SMIMEA (standar tidak disusun dalam RFC,
hanya ada konsepnya) untuk pertukaran kunci kriptografi melalui S / MIME.
Apa masalahnya dengan DANE
Pada pertengahan Mei, konferensi DNS-OARC diadakan (ini adalah organisasi nirlaba yang berhubungan dengan keamanan, stabilitas dan pengembangan sistem nama domain). Pada salah satu panel, para ahli
menyimpulkan bahwa teknologi DANE di browser gagal (setidaknya dalam implementasi saat ini). Menghadiri konferensi, Geoff Huston, seorang rekan senior di
APNIC , salah satu dari lima pendaftar Internet regional,
berbicara tentang DANE sebagai "teknologi mati."
Browser populer tidak mendukung otentikasi sertifikat dengan DANE. Ada plugin khusus di pasar yang mengungkapkan fungsionalitas catatan TLSA, tetapi dukungan mereka secara bertahap dihapus .
Masalah dengan penyebaran DANE di browser dikaitkan dengan durasi proses validasi DNSSEC. Sistem dipaksa untuk melakukan perhitungan kriptografis untuk mengonfirmasi keaslian sertifikat SSL dan menelusuri seluruh rantai server DNS (dari zona root ke domain host) saat menyambungkan ke sumber daya untuk pertama kalinya.
/ Unsplash / Kaley DykstraKelemahan ini telah dicoba di Mozilla menggunakan
DNSSEC Chain Extension untuk TLS. Seharusnya mengurangi jumlah catatan DNS yang harus dilihat klien selama otentikasi. Namun, ketidaksepakatan muncul dalam tim pengembangan yang tidak dapat diselesaikan. Akibatnya, proyek itu ditinggalkan, meskipun disetujui oleh IETF pada Maret 2018.
Alasan lain untuk rendahnya popularitas DANE adalah rendahnya prevalensi DNSSEC di dunia -
hanya 19% dari sumber daya yang bekerja dengannya . Para ahli merasa bahwa ini tidak cukup untuk secara aktif mempromosikan DANE.
Kemungkinan besar, industri akan berkembang ke arah yang berbeda. Alih-alih menggunakan DNS untuk memverifikasi sertifikat SSL / TLS, pelaku pasar, sebaliknya, akan mempromosikan protokol DNS-over-TLS (DoT) dan DNS-over-HTTPS (DoH). Kami menyebutkan yang terakhir dalam salah satu
materi kami
sebelumnya tentang HabrΓ©. Mereka mengenkripsi dan memverifikasi permintaan pengguna ke server DNS, mencegah penyerang dari spoofing data. Pada awal tahun, DoT sudah
diterapkan di Google untuk DNS Publik-nya. Adapun DANE, apakah teknologi akan dapat "kembali ke pelana" dan masih menjadi massa, masih harus dilihat di masa depan.
Apa lagi yang kita miliki untuk bacaan tambahan:
Cara mengotomatisasi manajemen infrastruktur TI - bahas tiga tren
JMAP - protokol terbuka menggantikan IMAP saat bertukar email
Cara menghemat uang menggunakan antarmuka pemrograman aplikasi
DevOps dalam layanan cloud menggunakan 1cloud.ru sebagai contoh
Evolusi Arsitektur Awan Keras
Bagaimana cara kerja dukungan teknis 1cloud
Cloud Myths