DNS - based Authentication of Named Entities

L'IETF (Internet Engineering Task Force) a proposé le protocole/mécanisme DANE (DNS - based Authentication of Named Entities) qui s’appuie sur le DNS pour authentifier des entités applicatives.

Cette démarche s'enregistre dans une logique de sécurisation des accès clients-serveurs en :

Sécurisant les requêtes DNS effectuées depuis les postes clients au travers des protocoles/mécanismes DNSSEC et TLS
Mieux sécuriser les accès chiffrés des clients vers les serveurs

Le principe est décrit dans les normes IETF suivantes :

RFC 6394[1]: Cas d’utilisation DANE
RFC 6698[2]: Protocole DANE

Liens externes

L'AFNIC y consacre un dossier thématique (en anglais et en français): Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE.

Support

Navigateurs internet

Google Chrome : pas de support, comme les clés de 1024 bits de la première version de DNSSEC ne sont pas reconnues[3]. Selon Adam Langley, le code a été écrit[4], et bien qu'absent de Chrome aujourd'hui[5], il est disponible en add-on [6] - [7].
Mozilla Firefox nécessite un add-on[8]. Ce dernier n'est cependant pas disponibles pour les versions de Firefox supérieures à la 56.

Serveurs

Postfix[9].
Halon[10] - [11].
Exim, en expérimental[12].

Services

Posteo[13].
mailbox.org[14].
Dotplex[15].
mail.de[16].
Tutanota[17].
Mailfence.

Bibliothèques de chiffrement

OpenSSL[18].
GnuTLS[19].
Net::DNS[20].
Net DNS2[21].
libsmaug[22].

Notes et références

(en) Request for comments n^o 6394.
(en) Request for comments n^o 6698.
(en) Duane Wessels, Verisign, « Increasing the Strength Zone Signing Key for the Root Zone », Verisign.com, 16 mai 2016 (consulté le 29 décembre 2016)
(en) Adam Langley, « DANE stapled certificates », ImperialViolet, 20 octobre 2012 (consulté le 16 avril 2014)
(en) Adam Langley, « DNSSEC authenticated HTTPS in Chrome », ImperialViolet, 16 juin 2011 (consulté le 16 avril 2014)
How To Add DNSSEC Support To Google Chrome
DNSSEC Validator - Chrome add-on
(en) « DNSSEC/TLSA Validator »
(en) « Postfix TLS Support - DANE », Postfix.org (consulté le 16 avril 2014)
(en) Jakob Schlyter, Kirei AB, « DANE », RTR-GmbH (consulté le 17 décembre 2015)
(en) « Halon DANE support », Halon Security AB (consulté le 17 décembre 2015)
(see Exim experimental spec)
(en) posteo.de, « Posteo unterstützt DANE/TLSA » (consulté le 15 mai 2014)
(en) mailbox.org, « DANE und DNSsec für sicheren E-Mail-Versand bei mailbox.org » [archive du 21 août 2014] (consulté le 29 mai 2014)
(en) dotplex.de, « Secure Hosting mit DANE/TLSA » (consulté le 21 juin 2014)
(en) mail.de, « mail.de unterstützt DANE/TLSA - Kein Beitritt in Verbund "E-Mail made in Germany" » (consulté le 22 juin 2014)
tutanota.de, « DANE Everywhere?! Let’s Make the Internet a Private Place Again » (consulté le 17 décembre 2015)
(en) Richard Levitte, « DANE CHANGES », 7 janvier 2016 (consulté le 13 janvier 2016)
(en) « Verifying a certificate using DANE (DNSSEC) », Gnu.org
« Bug #77327 for Net-DNS: DANE TLSA support », rt.cpan.org
« Net_DNS2 v1.2.5 – DANE TLSA Support »
« A C++ library for DANE protocols, focusing on secure email »

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.