Kaw's Lair Kolejny blog do marudzenia

15Lis/130

Nowości w WTW: DANE/TLSA

RFC 6698 - Jak wiemy (albo nie) aby nie dręczyć użytkowników pytaniami o prawidłowość certyfikatów trzeba albo dodać go do certyfikatów zaufanych albo upolować certyfikat podpisany przez jakąś trzecią firmę, która taki status posiada. Problemy z takim podejściem mogą być takie:

  • Odpłatność za taki certyfikat (chociaż spełniając pewne warunki można taki cert mieć za darmo);
  • W momencie ataku na centrum certyfikacji atakujący mogą sobie wygenerować zaufane certyfikaty z dowolnymi nazwami i tak przechwytywać szyfrowany ruch;
  • Można wygenerować własny certyfikat, z nazwą serwera którego ruch chcemy łapać, co prawda na ogół spowoduje to pokazanie komunikatu ostrzgawczego, ale spójrzmy prawdzie w oczy, większość użytkowników po prostu zaakceptuje to co dostał;

To od czego jest DANE (DNS-Based Authentication of Named Entities)? W sumie do 2 rzeczy. Po pierwsze dzięki DANE zbędne staje się używanie certyfikatów firm trzecich. Można sobie samemu wygenerować certyfikat i ustawić w DNSie jako certyfikat zaufany dla połączenia na danym porcie/protokole. Oraz - jeśli używamy z jakichś powodów zewnętrznego certyfikatu - poinformować klienta, że ten konkretny wydany nam certyfikat jest prawidłowy i że jeśli w połączeniu TLS znajdzie się jakiś inny - jest to niebezpieczne.

DANE (szczególnie z DNS-SEC) podnosi bezpieczeństwo połączeń TLS, zakładając że serwer ma wpisy DANE w DNS i klient obsługuje ten właśnie RFC. A WTW jest (chyba) pierwszym klientem, który ten protokół implementuje.

Komentarze (0) Trackbacks (0)

Brak komentarzy.


Leave a comment

Brak trackbacków.