Технология DANE: отличия от работы УЦ
Небольшое дополнение к прошлой заметке по теме, рассказывающей о контроле доверия в DANE. Напомню, речь идёт о том, что DANE, в случае применения с самоподписанным сертификатом, основывается только на административной иерархии DNS. А там, во многих случаях, не тщательно проверяются данные администраторов доменов. (Тут нужно заметить, что есть и виды SSL-сертификатов, которые также выдаются без особых проверок – достаточно управлять почтой на домене, для которого вы заказали сертификат.)
Так вот, есть ещё одно важное отличие между DANE+TLS (SSL) и чисто TLS (SSL). В случае с DANE, для того чтобы воспользоваться предоставляемыми возможностями и мимикрировать под “безопасный сайт” злоумышленнику нужно зарегистрировать другой домен. (Взлом цепочки управления DNS тут не рассматриваем.) Да, домен может быть визуально похож на адрес атакуемого сайта, как в хрестоматийном примере yandex.ru и yanclex.ru, но это другой домен. В случае же с имеющейся инфраструктурой удостоверяющих центров, выдающих SSL-сертификаты, злоумышленник может получить сертификат для того же самого домена. Что, кстати, не исключает тем более беспроблемного получения сертификата для условного yanclex-а. То есть, благодаря особенностям DNS, отличие DANE принципиальное – нельзя зарегистрировать и разместить в глобальной DNS второй домен, точно совпадающий с атакуемым. А вот выпустить без ведома администратора домена SSL-сертификат для него – можно. Естественно, с существенными оговорками, но, опять же, без взлома цепочки доверия. Свежее доказательство – история с TURKTRUST.
Это преимущество DANE.
Адрес записки: https://dxdt.ru/2013/01/08/5484/
Похожие записки:
- Рассылка SMS и распределённые сети под управлением Telegram
- Реплика: интернет-названия
- Реплика: особенности DNSSEC
- Описание TLS в поисковых машинах
- Сервис проверки настроек веб-узлов
- Адреса DMARC rua в зоне cloudflare.com
- Новые риски: автомобили-роботы в такси
- Геоаналитика через "Яндекс"
- Тест SSLLabs и X25519Kyber768
- Согласование траекторий автомобилей-роботов
- Новые криптосистемы на тестовом сервере TLS 1.3