Estamos falando sobre o que é a tecnologia DANE para autenticação de nomes de domínio DNS e por que ela não é amplamente usada em navegadores.
/ Unsplash / Paulius DragunasO que é o DANE
Autoridades de Certificação (CAs) são organizações que certificam
certificados SSL criptográficos. Eles colocaram sua assinatura eletrônica neles, confirmando a autenticidade. No entanto, às vezes surgem situações em que os certificados são emitidos com violações. Por exemplo, no ano passado, o Google iniciou um procedimento de "término de confiança" para os certificados da Symantec por causa de seu comprometimento (abordamos essa história em detalhes em nosso blog -
uma ou
duas vezes ).
Para evitar tais situações, há alguns anos, a IETF
começou a desenvolver a tecnologia DANE (mas não era amplamente usada em navegadores - por que isso acontece, falaremos mais adiante).
DANE (Autenticação de entidades nomeadas baseada em DNS) é um conjunto de especificações que permite usar o DNSSEC (extensões de segurança do sistema de nomes) para controlar a validade dos certificados SSL. DNSSEC é uma extensão do sistema de nomes de domínio que minimiza os ataques associados à falsificação. Usando essas duas tecnologias, o webmaster ou o cliente pode entrar em contato com um dos operadores da zona DNS e confirmar a validade do certificado usado.
De fato, o DANE atua como um certificado autoassinado (DNSSEC é o garante de sua confiabilidade) e complementa as funções da CA.
Como isso funciona
A especificação DANE está descrita na
RFC6698 . De acordo com o documento, um novo tipo foi adicionado aos
registros de recursos DNS - TLSA. Ele contém informações sobre o certificado transmitido, o tamanho e o tipo dos dados transmitidos, bem como os próprios dados. O webmaster cria uma impressão digital digital do certificado, assina com DNSSEC e coloca-o no TLSA.
O cliente se conecta ao site na Internet e compara seu certificado com uma "cópia" recebida do operador DNS. Se eles corresponderem, o recurso será considerado confiável.
A página wiki do DANE fornece o seguinte exemplo de consulta DNS para o servidor example.org pela porta TCP 443:
IN TLSA _443._tcp.example.org
A resposta para isso é assim:
_443._tcp.example.com. IN TLSA ( 3 0 0 30820307308201efa003020102020... )
O DANE possui várias extensões que funcionam com outros registros DNS além do TLSA. O primeiro é o registro DNS SSHFP para verificação de chave para conexões SSH. É descrito em
RFC4255 ,
RFC6594 e
RFC7479 . A segunda é a entrada OPENPGPKEY para troca de chaves usando PGP (
RFC7929 ). Finalmente, o terceiro é o registro SMIMEA (o padrão não é elaborado na RFC, existe
apenas o seu rascunho ) para troca de chaves criptográficas via S / MIME.
Qual é o problema com o DANE
Em meados de maio, foi realizada a conferência DNS-OARC (esta é uma organização sem fins lucrativos que lida com segurança, estabilidade e desenvolvimento do sistema de nomes de domínio). Em um dos painéis, os especialistas
concluíram que a tecnologia DANE nos navegadores falhou (pelo menos na implementação atual). Participando da conferência, Geoff Huston, membro sênior da
APNIC , um dos cinco registradores regionais da Internet,
falou do DANE como "tecnologia morta".
Navegadores populares não oferecem suporte à autenticação de certificado com o DANE. Existem plugins especiais no mercado que revelam a funcionalidade dos registros TLSA, mas seu suporte está sendo gradualmente eliminado .
Problemas com a propagação do DANE nos navegadores estão associados à duração do processo de validação do DNSSEC. O sistema é forçado a executar cálculos criptográficos para confirmar a autenticidade do certificado SSL e passar por toda a cadeia de servidores DNS (da zona raiz ao domínio do host) ao conectar-se ao recurso pela primeira vez.
/ Unsplash / Kaley DykstraEssa falha foi tentada no Mozilla usando a
extensão de cadeia DNSSEC para TLS. Era para reduzir o número de registros DNS que o cliente precisou examinar durante a autenticação. No entanto, surgiram divergências na equipe de desenvolvimento que não puderam ser resolvidas. Como resultado, o projeto foi abandonado, embora tenha sido aprovado pela IETF em março de 2018.
Outro motivo para a baixa popularidade do DANE é a baixa prevalência de DNSSEC no mundo -
apenas 19% dos recursos trabalham com ele . Os especialistas acharam que isso não bastava para promover ativamente o DANE.
Muito provavelmente, o setor se desenvolverá em uma direção diferente. Em vez de usar o DNS para verificar os certificados SSL / TLS, os participantes do mercado, pelo contrário, promoverão os protocolos DNS-over-TLS (DoT) e DNS-over-HTTPS (DoH). Mencionamos o último em um dos nossos
materiais anteriores sobre Habré. Eles criptografam e verificam as solicitações do usuário ao servidor DNS, impedindo que os invasores falsifiquem dados. No início do ano, o DoT já estava
implementado no Google por seu DNS público. Quanto à DANE, se a tecnologia será capaz de "voltar à sela" e ainda se tornar massa, ainda está para ser vista no futuro.
O que mais temos para leitura adicional:
Como automatizar o gerenciamento da infraestrutura de TI - discuta três tendências
JMAP - um protocolo aberto substitui o IMAP ao trocar e-mails
Como economizar dinheiro usando a interface de programação de aplicativos
DevOps em um serviço de nuvem usando 1cloud.ru como exemplo
1cloud Cloud Architecture Evolution
Como o suporte técnico do 1cloud funciona
Mitos da Nuvem