DNS-based Authentication of Named Entities

Z Wikipedie, otevřené encyklopedie
Skočit na navigaci Skočit na vyhledávání

DNS-based Authentication of Named Entities (DANE) je v informatice název pro síťový protokol, který umožňuje X.509 certifikáty používané pro TLS propojit se systémem doménových jmen (DNS) za pomoci DNSSEC).[1] DANE slouží jako doplněk nebo alternativa PKI.

Charakteristika[editovat | editovat zdroj]

Základem DANE jsou DNS záznamy typu TLSA obsahující certifikáty, případně jejich otisky. Jejich doménové jméno vychází ze jména zařízení a služby, pro jejíž ověření slouží. Aby mělo DANE smysl, musí být příslušné záznamy důvěryhodné. Proto je vyžadováno jejich ověření pomocí DNSSEC, bez něj jsou ignorovány.

Záznam TLSA může hrát při ověření stroje různé role. To je dáno obsahem jeho položky Použití Certifikátu (Certificate Usage), která může mít následující hodnoty:

  • DANE-EE (3): Certifikát poskytnutý protokolem TLS se musí shodovat s certifikátem obsaženým v záznamu TLSA. Tradiční ověření certifikátu budováním certifikační cesty od důvěryhodné autority klient vůbec neprovádí. Tato varianta je označovaná jako certifikát vydaný doménou (domain-issued certificate).
  • PKIX-EE (1): Stejně jako předchozí varianta požaduje shodu certifikátu poskytnutého protokolem TLS s certifikátem obsaženým v záznamu TLSA, ale navíc se provádí standardní ověření podle X.509. Obě ověření musí dopadnout úspěšně, aby byl certifikát akceptován. Jedná se o tak zvané omezení certifikátu (service certificate constraint).
  • PKIX-TA (0): Ověřuje se standardní certifikační cestou podle X.509, ale některý z certifikátů cesty se musí shodovat s obsahem záznamu TLSA. Typicky bude záznam TLSA obsahovat certifikát autority, která je jako jediná oprávněna vydat certifikát pro daný stroj, proto je tato varianta označována jako omezení certifikační autority (CA constraint).
  • DANE-TA (2): Certifikát obsažený v záznamu má být použit jako klíč certifikační autority a od něj si má klient postavit cestu ověřující certifikát poskytnutý protokolem TLS. Jedná se o prosazení kotvy důvěry (trust anchor assertion).

DANE ve variantách PKIX-EE a PKIX-TA doplňuje PKI a omezuje možnosti pro podstrčení falešného certifikátu, zatímco varianty DANE-EE a DANE-TA nechávají PKI zcela stranou a umožňují ověřit certifikát jen na základě údajů z DNS. Další položky záznamu TLSA obsahují vlastní certifikační data (certifikát nebo jeho otisk) a informace o nich.

Klient podporující DANE při zahájení TLS komunikace získá z DNS záznamy typu TLSA pro jméno ve tvaru _port._transport.server. Například k ověření certifikátu HTTPS serveru cs.wikipedia.org, který používá port 443 transportního protokolu TCP, bude poptávat záznamy TLSA pro jméno _443._tcp.cs.wikipedia.org. Následně je využije pro ověření certifikátu, který od serveru získal protokolem TLS. Dopadne-li ověření úspěšně, bude certifikát považovat za autentický a pokračovat v komunikaci. V opačném případě je certifikát považován za podvržený a klient komunikaci ukončí.

V RFC 6698 je navrženo, jak autentizovat TLS klienta a server bez pomoci certifikační autority (CA). Aktualizace a návrh implementace je v RFC 7671. Specifikace pro protokol SMTP jsou v RFC 7672 a pro záznamy SRV v RFC 7673.

Literatura[editovat | editovat zdroj]

  • BALAKRICHENAN, Sandoche; BORTZMEYER, Stephane; SOUISSI, Mohsen. A Step-by-Step guide for implementing DANE with a Proof of Concept. [s.l.]: AFNIC R&D, 2013. 15 s. Dostupné online. ((anglicky)) 

Reference[editovat | editovat zdroj]

  1. DANE: Taking TLS Authentication to the Next Level Using DNSSEC [online]. ISOC. Dostupné online. (anglicky) [nedostupný zdroj]

Externí odkazy[editovat | editovat zdroj]

  • https://www.huque.com/bin/danecheck – ověření certifikátu pomocí TLSA záznamu a DANE
  • SURÝ, Ondřej. Protokol DANE aneb (z)krocení zlých certifikačních autorit. Root.cz [online]. 2012-09-10 [cit. 2016-12-22]. Dostupné online. 
  • POŠVIC, Kamil. Postfix dostal podporu pro DANE protokol. Root.cz [online]. 2014-01-24 [cit. 2016-12-22]. Dostupné online. 
  • KRČMÁŘ, Petr; CALETKA, Ondřej. Připíchněte si SSL certifikát k doméně. Root.cz [online]. 2014-09-17 [cit. 2016-12-22]. Dostupné online. 
  • JELÍNEK, Lukáš. Bezpečný e-mail bezpečnější díky DANE. LinuxEXPRES [online]. 2015-11-11 [cit. 2016-12-22]. Dostupné online. 
  • CALETKA, Ondřej. Bezpečné DNS a DANE do každého počítače?. Root.cz [online]. 2016-08-15 [cit. 2016-12-22]. Dostupné online.