DNS - based Authentication of Named Entities

L'IETF (Internet Engineering Task Force) a proposé le protocole/mécanisme DANE (DNS - based Authentication of Named Entities) qui s’appuie sur le DNS pour authentifier des entités applicatives.

Cette démarche s'enregistre dans une logique de sécurisation des accès clients-serveurs en :

• Sécurisant les requêtes DNS effectuées depuis les postes clients au travers des protocoles/mécanismes DNSSEC et TLS
• Mieux sécuriser les accès chiffrés des clients vers les serveurs

Le principe est décrit dans les normes IETF suivantes :

• RFC 6394^[1]: Cas d’utilisation DANE
• RFC 6698^[2]: Protocole DANE

Liens externes

L'AFNIC y consacre un dossier thématique (en anglais et en français): Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE.

Support

Navigateurs internet

• Google Chrome : pas de support, comme les clés de 1024 bits de la première version de DNSSEC ne sont pas reconnues^[3]. Selon Adam Langley, le code a été écrit^[4], et bien qu'absent de Chrome aujourd'hui^[5], il est disponible en add-on ^[6],[7].
• Mozilla Firefox nécessite un add-on^[8]. Ce dernier n'est cependant pas disponibles pour les versions de Firefox supérieures à la 56.

Serveurs

• Postfix^[9].
• Halon^[10],[11].
• Exim, en expérimental^[12].

Services

• Posteo^[13].
• mailbox.org^[14].
• Dotplex^[15].
• mail.de^[16].
• Tutanota^[17].
• Mailfence.

Bibliothèques de chiffrement

• OpenSSL^[18].
• GnuTLS^[19].
• Net::DNS^[20].
• Net DNS2^[21].
• libsmaug^[22].

Notes et références

1. (en) Request for comments n^o 6394
2. (en) Request for comments n^o 6698
3. (en) Duane Wessels, Verisign, « Increasing the Strength Zone Signing Key for the Root Zone », Verisign.com, 16 mai 2016 (consulté le 29 décembre 2016)
4. (en) Adam Langley, « DANE stapled certificates », ImperialViolet, 20 octobre 2012 (consulté le 16 avril 2014)
5. (en) Adam Langley, « DNSSEC authenticated HTTPS in Chrome », ImperialViolet, 16 juin 2011 (consulté le 16 avril 2014)
6. How To Add DNSSEC Support To Google Chrome
7. DNSSEC Validator - Chrome add-on
8. (en) « DNSSEC/TLSA Validator »
9. (en) « Postfix TLS Support - DANE », Postfix.org (consulté le 16 avril 2014)
10. (en) Jakob Schlyter, Kirei AB, « DANE », RTR-GmbH (consulté le 17 décembre 2015)
11. (en) « Halon DANE support », Halon Security AB (consulté le 17 décembre 2015)
12. (see Exim experimental spec)
13. (en) posteo.de, « Posteo unterstützt DANE/TLSA » (consulté le 15 mai 2014)
14. (en) mailbox.org, « DANE und DNSsec für sicheren E-Mail-Versand bei mailbox.org » [archive du 21 août 2014] (consulté le 29 mai 2014)
15. (en) dotplex.de, « Secure Hosting mit DANE/TLSA » (consulté le 21 juin 2014)
16. (en) mail.de, « mail.de unterstützt DANE/TLSA - Kein Beitritt in Verbund "E-Mail made in Germany" » (consulté le 22 juin 2014)
17. tutanota.de, « DANE Everywhere?! Let’s Make the Internet a Private Place Again » (consulté le 17 décembre 2015)
18. (en) Richard Levitte, « DANE CHANGES », 7 janvier 2016 (consulté le 13 janvier 2016)
19. (en) « Verifying a certificate using DANE (DNSSEC) », Gnu.org
20. « Bug #77327 for Net-DNS: DANE TLSA support », rt.cpan.org
21. « Net_DNS2 v1.2.5 – DANE TLSA Support »
22. « A C++ library for DANE protocols, focusing on secure email »

•   Portail des réseaux informatiques