DNS - based Authentication of Named Entities

L'IETF (Internet Engineering Task Force) a proposé le protocole/mécanisme DANE (DNS - based Authentication of Named Entities) qui s’appuie sur le DNS pour authentifier des entités applicatives.

Cette démarche s'enregistre dans une logique de sécurisation des accès clients-serveurs en :

Sécurisant les requêtes DNS effectuées depuis les postes clients au travers des protocoles/mécanismes DNSSEC et TLS
Mieux sécuriser les accès chiffrés des clients vers les serveurs

Le principe est décrit dans les normes IETF suivantes :

RFC 6394^[1]: Cas d’utilisation DANE
RFC 6698^[2]: Protocole DANE

Liens externes

L'Afnic y consacre un dossier thématique (en anglais et en français): Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE.

Support

Navigateurs internet

Google Chrome : pas de support, comme les clés de 1024 bits de la première version de DNSSEC ne sont pas reconnues^[3]. Selon Adam Langley, le code a été écrit^[4], et bien qu'absent de Chrome aujourd'hui^[5], il est disponible en add-on ^[6]^,^[7].
Mozilla Firefox nécessite un add-on^[8]. Ce dernier n'est cependant pas disponibles pour les versions de Firefox supérieures à la 56.

Serveurs

Postfix^[9].
Halon^[10]^,^[11].
Exim, en expérimental^[12].

Services

Posteo^[13].
mailbox.org^[14].
Dotplex^[15].
mail.de^[16].
Tutanota^[17].
Mailfence.

Bibliothèques de chiffrement

Notes et références

↑ (en) Request for comments n^o 6394
↑ (en) Request for comments n^o 6698
↑ (en) Duane Wessels, Verisign, « Increasing the Strength Zone Signing Key for the Root Zone », Verisign.com, 16 mai 2016 (consulté le 29 décembre 2016)
↑ (en) Adam Langley, « DANE stapled certificates », ImperialViolet, 20 octobre 2012 (consulté le 16 avril 2014)
↑ (en) Adam Langley, « DNSSEC authenticated HTTPS in Chrome », ImperialViolet, 16 juin 2011 (consulté le 16 avril 2014)
↑ How To Add DNSSEC Support To Google Chrome
↑ DNSSEC Validator - Chrome add-on
↑ (en) « DNSSEC/TLSA Validator »
↑ (en) « Postfix TLS Support - DANE », Postfix.org (consulté le 16 avril 2014)
↑ (en) Jakob Schlyter, Kirei AB, « DANE », RTR-GmbH (consulté le 17 décembre 2015)
↑ (en) « Halon DANE support », Halon Security AB (consulté le 17 décembre 2015)
↑ (see Exim experimental spec)
↑ (en) posteo.de, « Posteo unterstützt DANE/TLSA » (consulté le 15 mai 2014)
↑ (en) mailbox.org, « DANE und DNSsec für sicheren E-Mail-Versand bei mailbox.org » [archive du 21 août 2014] (consulté le 29 mai 2014)
↑ (en) dotplex.de, « Secure Hosting mit DANE/TLSA » (consulté le 21 juin 2014)
↑ (en) mail.de, « mail.de unterstützt DANE/TLSA - Kein Beitritt in Verbund "E-Mail made in Germany" » (consulté le 22 juin 2014)
↑ tutanota.de, « DANE Everywhere?! Let’s Make the Internet a Private Place Again » (consulté le 17 décembre 2015)
↑ (en) Richard Levitte, « DANE CHANGES », 7 janvier 2016 (consulté le 13 janvier 2016)
↑ (en) « Verifying a certificate using DANE (DNSSEC) », Gnu.org
↑ « Bug #77327 for Net-DNS: DANE TLSA support », rt.cpan.org
↑ « Net_DNS2 v1.2.5 – DANE TLSA Support »
↑ « A C++ library for DANE protocols, focusing on secure email »

Portail des réseaux informatiques

[RFC-6394-1] (en) Request for comments n^o 6394

[RFC-6698-2] (en) Request for comments n^o 6698

[3] (en) Duane Wessels, Verisign, « Increasing the Strength Zone Signing Key for the Root Zone », Verisign.com, 16 mai 2016 (consulté le 29 décembre 2016)

[4] (en) Adam Langley, « DANE stapled certificates », ImperialViolet, 20 octobre 2012 (consulté le 16 avril 2014)

[5] (en) Adam Langley, « DNSSEC authenticated HTTPS in Chrome », ImperialViolet, 16 juin 2011 (consulté le 16 avril 2014)

[6] How To Add DNSSEC Support To Google Chrome

[7] DNSSEC Validator - Chrome add-on

[8] (en) « DNSSEC/TLSA Validator »

[postfix-dane-9] (en) « Postfix TLS Support - DANE », Postfix.org (consulté le 16 avril 2014)

[10] (en) Jakob Schlyter, Kirei AB, « DANE », RTR-GmbH (consulté le 17 décembre 2015)

[11] (en) « Halon DANE support », Halon Security AB (consulté le 17 décembre 2015)

[12] (see Exim experimental spec)

[13] (en) posteo.de, « Posteo unterstützt DANE/TLSA » (consulté le 15 mai 2014)

[14] (en) mailbox.org, « DANE und DNSsec für sicheren E-Mail-Versand bei mailbox.org » [archive du 21 août 2014] (consulté le 29 mai 2014)

[15] (en) dotplex.de, « Secure Hosting mit DANE/TLSA » (consulté le 21 juin 2014)

[16] (en) mail.de, « mail.de unterstützt DANE/TLSA - Kein Beitritt in Verbund "E-Mail made in Germany" » (consulté le 22 juin 2014)

[17] tutanota.de, « DANE Everywhere?! Let’s Make the Internet a Private Place Again » (consulté le 17 décembre 2015)

[18] (en) Richard Levitte, « DANE CHANGES », 7 janvier 2016 (consulté le 13 janvier 2016)

[19] (en) « Verifying a certificate using DANE (DNSSEC) », Gnu.org

[20] « Bug #77327 for Net-DNS: DANE TLSA support », rt.cpan.org

[21] « Net_DNS2 v1.2.5 – DANE TLSA Support »

[22] « A C++ library for DANE protocols, focusing on secure email »

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]