Mis on DANE?

DANE (DNS-based Authentication of Named Entities) on protokoll, mis kasutab DNSSECi taristut, lisaks DNS kirjete digiallkirjastamisele, ka kõikvõimalike teiste domeenidega seotud sertifikaatide jagamiseks, allkirjastamiseks ning kontrolliks. Mõned sellised näited on TLS (Transport-Layer Security) X.509 (PKIX) sertifikaadid, mida kasutatakse HTTPS protokollis andmete krüpteerimiseks, aga ka e-kirjade allkirjastamiseks ja krüpteerimiseks ning seadmete vaheliste turvaliste ühenduste loomiseks.

Põhiline fookus on DANE puhul siiski HTTPS sertifikaatidel. Täna tuleb oma kodulehe- või internetiteenuse pakkumiseks üle krüpteeritud kanali osta sertifikaat. Sirvikute ja operatsioonisüsteemide tootjate poolt aktsepteeritud sertifikaatide väljastajate (CA - Certificate Authority) nimekiri on piiratud. See tähendab, et kasutaja saab oma arvutis hoiatuse kui sertifikaat on väljastatud kellegi poolt, keda nimekirjas pole. Sertifikaadid võivad olla domeeniomaniku jaoks kallid. Piirangute eesmärk on tagada kvaliteet, sest selle sertifikaadiga tehakse ka kindlaks, et teenusepakkujal üldse on õigus konkreetse domeeni alt teenust pakkuda. CAdel on kohustus enne sertifikaadi väljastamist veenduda, et taotlejal on õigus vastava domeeni kasutamiseks. DANE lisab alternatiivse mooduse selle õiguse tuvastamiseks, sest DNSSECi jaoks on registripidaja juba kinnitanud sertifikaadi väljastaja õigused konkreetse domeeni alt tegutseda. See tähendab, et domeeni omanik võib ise vajalikud sertifikaadid luua ning lisada need DNS süseemi ja allkirjastada.

DANE puhul on ettenähtud ka võimalused kolmanda osapoole poolt (CA) väljastatud sertifikaatide täiendavaks allkirjastamiseks, saab ära määrata ka konkreetsed CA(d) kelle poolt sertifikaat peab olema välja antud või missugused sertifikaadid on lubatud konkreetse teenuse puhul.

Võimalus välja murda kinnise CAde nimekirja piirangutest ning anda domeeniomanikele võimalused ise oma turvasertifikaate kontrollida, on eesmärk mille poole püütakse jõuda. Sarnaselt DNSSECiga, puudub ka DANE puhul täna sirvikutes vaikimisi tugi, mis tähendab jätkuvalt hoiatust aadressiribal sõnumiga "sertifikaadi väljastanud CA ei pruugi olla usaldusväärne". Seega saab täna DANE kasutada juba usaldusväärse CA poolt väljastatud sertifikaadile täiendava turva taseme lisamiseks, andes kasutajale täiendava võimaluse veendumaks, et teenuse pakkuja tõepoolest omab õigust vastava domeeni alt teenust pakkuda.

DANE Eesti Interneti SA-s

Alates 25. aprillist on EISi registreerija ja registripidaja portaalide TLS sertifikaadid täiendavalt ka DANE protokolliga kaitstud.

Kuidas DANE kontrollida?

Selleks tuleb sirvikusse paigaldada pistikprogramm, mis on saadaval kõigi suuremate sirvikute jaoks, kannab nime DNSSEC/TLSA Validator ja alla laetav siit: https://www.dnssec-validator.cz/

Pärast pistikprogrammi paigaldamist, tuleb seda ka seadistada - määrata ära missugust lahendavat nimeserverit see kasutama peaks. Kui vaikimisi nimeserver juba oskab DNSSECi kontrollida, siis sobib vaike väärtus, muul juhul soovitame valida väärtus 'Custom' ning sisestada lahtrisse üks kahest Google avatud nimeserverist (8.8.8.8 või 8.8.4.4).

Seadete lehe lõpus on valikud ka põhjalikumaks kontrolliks. Vaikimisi annab pistik lihtsalt punase või rohelise ikooniga teada, kas domeeniga on DANE kontekstis kõik korras. Võimalik on aga programm seadistada selliselt, et vea leidmisel kuvatakse kasutajale hoiatus ning kasutaja saab siis enne leheküljega andmeside loomist otsustada, kas jätkata või reageerida ohuhoiatusele, keeldudes leheküljele sisenemast. Selleks tuleb sisse lülitada valik "Enable TLSA validation of all HTTPS requests on the page" ning "Cancel HTTPS connection when TLSA validation fails".

Miks DANE kontrollida?

Kui domeenil on juba HTTPS ja ka DNSSEC on rakendatud, siis võib tekkida küsimus, milleks paigaldada veel üks pistikprogramm järjekordse protokolli kontrollimiseks.  HTTPSi puhul on paljud õppinud igonreerima seda sirviku aadressi ribal kuvatavat olekut - mõnikord tähendab mitte roheline tabalukk ju seda, et teenuse pakkuja SSL sertifikaat on aegunud, tegemist võib olla enda või mis iganes põhjusel sirvikute usaldusväärsete CAde nimistusse mitte kuuluva CA poolt loodud sertifikaadiga. Põhjused, mis ei tähenda tingimata seda, et domeeniga on midagi lahti. Seega võib igasugune täiendav võimalus veenduda, et kõik on tõepoolest korras, tähendada ärahoitud potentsiaalset raha või isikuandmete kaotust.

Kui mõni teie kriitilistest internetiteenuste pakkujatest on DNSSECi ja DANE rakendanud, on mõistlik kasutada võimalust ja veenduda, et kõik on ka tegelikut korras või kui teenusepakkuja ei kasuta ühte ega teist, siis soovitame nende poole pöörduda ja oma soovi avaldada. Ilma vastava nõudluseta ei kipu teenusepakkujad uut oma lahenduste jaoks arendama.

Miks DANE rakendada?

Kui interneti sirviku- ja operatsioonisüsteemide tootjad hakkavad DANE toetama, on võit ilmselge - võimalus loobuda suhteliselt kulukast CA teenusest ning saavutada parem kontroll oma sertifikaatide, sealhulgas ka salajase osa üle. Kuid seni on DANE pigem täiendav võimalus DNSSECi rakendada ning kasu avaldub suurema turvalisuse võtmes. CAde tase pole ühtlane, viimastel aastatel avalikuks saanud intsidendid on õõnestanud nende vastast usaldust. DANE võimaldab siin pakkuda oma teenuse kasutajatele täiendavat kindlust, mis peaks olema eriti oluline raha ja isiklike andmetega tegelevatele organisatsioonidele.

Kasulikud lingid