Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Технология DANE: отличия от работы УЦ
Небольшое дополнение к прошлой заметке по теме, рассказывающей о контроле доверия в DANE. Напомню, речь идёт о том, что DANE, в случае применения с самоподписанным сертификатом, основывается только на административной иерархии DNS. А там, во многих случаях, не тщательно проверяются данные администраторов доменов. (Тут нужно заметить, что есть и виды SSL-сертификатов, которые также выдаются без особых проверок – достаточно управлять почтой на домене, для которого вы заказали сертификат.)
Так вот, есть ещё одно важное отличие между DANE+TLS (SSL) и чисто TLS (SSL). В случае с DANE, для того чтобы воспользоваться предоставляемыми возможностями и мимикрировать под “безопасный сайт” злоумышленнику нужно зарегистрировать другой домен. (Взлом цепочки управления DNS тут не рассматриваем.) Да, домен может быть визуально похож на адрес атакуемого сайта, как в хрестоматийном примере yandex.ru и yanclex.ru, но это другой домен. В случае же с имеющейся инфраструктурой удостоверяющих центров, выдающих SSL-сертификаты, злоумышленник может получить сертификат для того же самого домена. Что, кстати, не исключает тем более беспроблемного получения сертификата для условного yanclex-а. То есть, благодаря особенностям DNS, отличие DANE принципиальное – нельзя зарегистрировать и разместить в глобальной DNS второй домен, точно совпадающий с атакуемым. А вот выпустить без ведома администратора домена SSL-сертификат для него – можно. Естественно, с существенными оговорками, но, опять же, без взлома цепочки доверия. Свежее доказательство – история с TURKTRUST.
Это преимущество DANE.
()
Похожие записки:
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- TLS для DevOps
- Обновление описания TLS
- Удостоверяющий центр TLS ТЦИ
- TLS-сертификаты dxdt.ru
- Смартфон-шпион: восемь лет спустя
- Доверенные программы для обмена сообщениями
- Статья: DNS в качестве инструмента публикации вспомогательной информации
- Ретроспектива заметок: деанонимизация по географии
- Интернет-протокол "дымовой завесы"
- "Авторизованный трафик" и будущее Интернета
- Статья о технологии Encrypted Client Hello
- Браузеры и перехват TLS без участия УЦ
- "Пасхалки" в трафике
- Про цепочки, RSA и ECDSA