Cơ sở hạ tầng cơ bản, sẽ biến điều này thành có thể, tồn tại và được gọi là Xác thực dựa trên DNS của các thực thể được đặt tên (Dane) và được chỉ định trong RFC6698 . Nó hoạt động bằng một TLSA
bản ghi tài nguyên, chỉ định chứng chỉ hoặc khóa chung của thực thể cuối hoặc một trong các CA của nó trong chuỗi (Thực tế có bốn loại khác nhau, xem RFC để biết chi tiết).
Con nuôi
Dane tuy nhiên chưa thấy áp dụng rộng rãi. VeriSign giám sát việc áp dụng DNSSEC và Dane và theo dõi sự tăng trưởng của nó theo thời gian :
Để so sánh, theo VeriSign, tồn tại khoảng 2,7 triệu vùng DNS, do đó, điều đó có nghĩa là hơn 1% của tất cả các vùng có ít nhất một bản ghi TLSA.
Tôi không thể đưa ra bất kỳ câu trả lời có thẩm quyền nào, tại sao lại là Dane, nhưng đây là những suy đoán của tôi:
Dane bị vấn đề tương tự như Danh sách thu hồi chứng chỉ (CRL) và Giao thức trạng thái chứng chỉ trực tuyến (OCSP). Để xác minh tính hợp lệ của chứng chỉ được xuất trình, phải liên hệ với bên thứ ba. Hanno Böck đưa ra một cái nhìn tổng quan tốt , tại sao đây là một vấn đề lớn trong thực tế. Vấn đề là phải làm gì khi bạn không thể đến bên thứ ba. Các nhà cung cấp trình duyệt đã chọn không thành công (hay còn gọi là giấy phép) trong trường hợp này, điều này khiến cho toàn bộ điều này trở nên vô nghĩa và cuối cùng Chrome đã quyết định vô hiệu hóa OCSP vào năm 2012.
DNSSEC
Có thể cho rằng DNS cung cấp tính khả dụng tốt hơn nhiều so với các máy chủ CA của CRL và OCSP, nhưng nó vẫn không thể xác minh ngoại tuyến. Ngoài Dane, chỉ nên được sử dụng cùng với DNSSEC. Vì DNS bình thường hoạt động trên UDP không được xác thực, nên nó rất dễ bị giả mạo, các cuộc tấn công MITM, v.v. Việc áp dụng DNSSEC tốt hơn nhiều so với việc áp dụng Dane, nhưng vẫn còn rất phổ biến.
Và với DNSSEC, chúng tôi lại gặp vấn đề về lỗi mềm. Theo hiểu biết của tôi, không có hệ điều hành máy chủ / máy khách chính nào cung cấp trình phân giải DNSSEC hợp lệ theo mặc định.
Sau đó cũng là vấn đề thu hồi. DNSSEC không có cơ chế thu hồi và thay vào đó dựa vào các khóa tồn tại ngắn.
Hỗ trợ phần mềm
Tất cả các phần mềm tham gia phải thực hiện hỗ trợ Dane.
Về lý thuyết, bạn có thể nghĩ rằng đây sẽ là công việc của các thư viện tiền điện tử và các nhà phát triển ứng dụng sẽ không phải làm gì nhiều, nhưng thực tế là, các thư viện mật mã thường chỉ cung cấp các nguyên thủy và các ứng dụng phải tự thiết lập và cấu hình rất nhiều (và không may có nhiều cách để có được những điều sai).
Tôi không biết rằng bất kỳ máy chủ web lớn nào (ví dụ Apache hoặc nginx), ví dụ Dane đã triển khai hoặc có kế hoạch thực hiện. Các máy chủ web có tầm quan trọng đặc biệt ở đây, bởi vì ngày càng có nhiều công cụ được xây dựng trên các công nghệ web và do đó chúng thường là đầu tiên, nơi mọi thứ được triển khai.
Khi chúng ta xem CRL, OCSP và OCSP Stapling để so sánh, chúng ta có thể suy ra câu chuyện áp dụng Dane sẽ diễn ra như thế nào. Chỉ một số ứng dụng sử dụng OpenSSL, libnss, GnuTLS, v.v. mới hỗ trợ các tính năng này. Phải mất một thời gian để các phần mềm lớn như Apache hoặc nginx hỗ trợ nó và một lần nữa tham khảo lại bài viết của Hanno Böck, họ đã hiểu sai và việc triển khai của họ là thiếu sót. Các dự án phần mềm lớn khác, như Postfix hoặc Dovecot không hỗ trợ OCSPvà có chức năng CRL rất hạn chế, về cơ bản chỉ vào một tệp trong hệ thống tệp (không nhất thiết phải đọc lại quy định, do đó bạn sẽ phải tải lại máy chủ của mình theo cách thủ công, v.v.). Hãy nhớ rằng đây là những dự án thường xuyên sử dụng TLS. Sau đó, bạn có thể bắt đầu xem xét mọi thứ, trong đó TLS ít phổ biến hơn, chẳng hạn như PostgreSQL / MySQL và có thể họ cung cấp CRL tốt nhất.
Vì vậy, tôi thậm chí không có các máy chủ web hiện đại triển khai nó và hầu hết các phần mềm khác thậm chí không có mặt để triển khai OCSP và CRL, chúc may mắn với ứng dụng hoặc thiết bị doanh nghiệp 5 năm của bạn.
Ứng dụng tiềm năng
Vì vậy, nơi bạn thực sự có thể sử dụng Dane? Đến bây giờ, không phải trên Internet nói chung. Nếu bạn điều khiển máy chủ và máy khách, có thể đó là một tùy chọn, nhưng trong trường hợp này, bạn thường có thể sử dụng Ghim khóa công khai.
Trong không gian thư, Dane đang nhận được một số lực kéo, bởi vì SMTP không có bất kỳ loại mã hóa vận chuyển xác thực nào trong thời gian dài nhất. Các máy chủ SMTP đôi khi đã sử dụng TLS với nhau, nhưng không xác minh rằng tên trong các chứng chỉ thực sự khớp với nhau, giờ đây chúng bắt đầu kiểm tra điều này thông qua Dane.