DNS-based Authentication of Named Entities

DNS-based Authentication of Named Entities (DANE) je v informatice název pro síťový protokol, který umožňuje certifikáty X.509 používané pro TLS propojit se systémem doménových jmen (DNS) za pomoci DNSSEC).^[1] DANE slouží jako doplněk nebo alternativa PKI.

Česko v roce 2022 nařídilo u SMTP systémů kritické informační infrastruktury zavést DANE.^[2]

Charakteristika

Základem DANE jsou záznamy DNS typu TLSA obsahující certifikáty, případně jejich otisky. Jejich doménové jméno vychází ze jména zařízení a služby, pro jejíž ověření slouží. Aby mělo DANE smysl, musí být příslušné záznamy důvěryhodné. Proto je vyžadováno jejich ověření pomocí DNSSEC, bez něj jsou ignorovány.

Záznam TLSA může hrát při ověření stroje různé role. To je dáno obsahem jeho položky Použití Certifikátu (Certificate Usage), která může mít následující hodnoty:

DANE-EE (3): Certifikát poskytnutý protokolem TLS se musí shodovat s certifikátem obsaženým v záznamu TLSA. Tradiční ověření certifikátu budováním certifikační cesty od důvěryhodné autority klient vůbec neprovádí. Tato varianta je označovaná jako certifikát vydaný doménou (domain-issued certificate).
PKIX-EE (1): Stejně jako předchozí varianta požaduje shodu certifikátu poskytnutého protokolem TLS s certifikátem obsaženým v záznamu TLSA, ale navíc se provádí standardní ověření podle X.509. Obě ověření musí dopadnout úspěšně, aby byl certifikát akceptován. Jedná se o tak zvané omezení certifikátu (service certificate constraint).
PKIX-TA (0): Ověřuje se standardní certifikační cestou podle X.509, ale některý z certifikátů cesty se musí shodovat s obsahem záznamu TLSA. Typicky bude záznam TLSA obsahovat certifikát autority, která je jako jediná oprávněna vydat certifikát pro daný stroj, proto je tato varianta označována jako omezení certifikační autority (CA constraint).
DANE-TA (2): Certifikát obsažený v záznamu má být použit jako klíč certifikační autority a od něj si má klient postavit cestu ověřující certifikát poskytnutý protokolem TLS. Jedná se o prosazení kotvy důvěry (trust anchor assertion).

DANE ve variantách PKIX-EE a PKIX-TA doplňuje PKI a omezuje možnosti pro podstrčení falešného certifikátu, zatímco varianty DANE-EE a DANE-TA nechávají PKI zcela stranou a umožňují ověřit certifikát jen na základě údajů z DNS. Další položky záznamu TLSA obsahují vlastní certifikační data (certifikát nebo jeho otisk) a informace o nich.

Klient podporující DANE při zahájení TLS komunikace získá z DNS záznamy typu TLSA pro jméno ve tvaru _port._transport.server. Například k ověření certifikátu HTTPS serveru cs.wikipedia.org, který používá port 443 transportního protokolu TCP, bude poptávat záznamy TLSA pro jméno _443._tcp.cs.wikipedia.org. Následně je využije pro ověření certifikátu, který od serveru získal protokolem TLS. Dopadne-li ověření úspěšně, bude certifikát považovat za autentický a pokračovat v komunikaci. V opačném případě je certifikát považován za podvržený a klient komunikaci ukončí.

V RFC 6698 je navrženo, jak autentizovat klienta TLS a server bez pomoci certifikační autority (CA). Aktualizace a návrh implementace je v RFC 7671. Specifikace pro protokol SMTP jsou v RFC 7672 a pro záznamy SRV v RFC 7673.

Literatura

BALAKRICHENAN, Sandoche; BORTZMEYER, Stephane; SOUISSI, Mohsen. A Step-by-Step guide for implementing DANE with a Proof of Concept. [s.l.]: AFNIC R&D, 2013. 15 s. Dostupné online. ((anglicky))

Reference

↑ DANE: Taking TLS Authentication to the Next Level Using DNSSEC [online]. ISOC [cit. 2016-12-15]. Dostupné v archivu pořízeném dne 2014-06-26. (anglicky)
↑ Proč je Česko druhou zemí na světě, která nařizuje pro zabezpečení e-mailů zavést DANE

Externí odkazy

https://www.huque.com/bin/danecheck – ověření certifikátu pomocí TLSA záznamu a DANE
SURÝ, Ondřej. Protokol DANE aneb (z)krocení zlých certifikačních autorit. Root.cz [online]. 2012-09-10 [cit. 2016-12-22]. Dostupné online.
POŠVIC, Kamil. Postfix dostal podporu pro DANE protokol. Root.cz [online]. 2014-01-24 [cit. 2016-12-22]. Dostupné online.
KRČMÁŘ, Petr; CALETKA, Ondřej. Připíchněte si SSL certifikát k doméně. Root.cz [online]. 2014-09-17 [cit. 2016-12-22]. Dostupné online.
JELÍNEK, Lukáš. Bezpečný e-mail bezpečnější díky DANE. LinuxEXPRES [online]. 2015-11-11 [cit. 2016-12-22]. Dostupné online.
CALETKA, Ondřej. Bezpečné DNS a DANE do každého počítače?. Root.cz [online]. 2016-08-15 [cit. 2016-12-22]. Dostupné online.

[1] DANE: Taking TLS Authentication to the Next Level Using DNSSEC [online]. ISOC [cit. 2016-12-15]. Dostupné v archivu pořízeném dne 2014-06-26. (anglicky)

[2] Proč je Česko druhou zemí na světě, která nařizuje pro zabezpečení e-mailů zavést DANE

[1]

[2]